Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

RAT-троян SpyMax атакует пользователей Telegram

04/07/24

Telehack-Jul-04-2024-08-41-46-2926-AM

Исследователи в области кибербезопасности из K7 Labs выявили новую угрозу для пользователей Telegram. Вредоносное программное обеспечение, известное как SpyMax, представляет собой троян удалённого доступа (RAT), разработанный для кражи конфиденциальных данных с Android-устройств, пишет Securitylab.

Для работы SpyMax не требуется root-доступ к устройству, что существенно упрощает злоумышленникам нанесение ущерба. Вредоносное ПО может собирать личную и приватную информацию с заражённых устройств без ведома пользователя. Собранные данные затем отправляются удалённому злоумышленнику, который, вдобавок, может отправлять специализированные вредоносные команды на устройство жертвы.

Последняя фишинговая компания, обнаруженная экспертами K7 Labs, направлена на пользователей «синего мессенджера». В атаках используется поддельное приложение Telegram, чтобы заставить жертв установить вредоносного ПО под видом легитимного. Его скачивание инициализируется с мошеннической страницы, имитирующей Google Play, расположенной по адресу «telegroms[.]icu/assets/download/ready.apk». Вредоносное ПО умело маскируется под приложение Telegram, используя схожий значок и название.

После запуска RAT постоянно запрашивает у пользователя разрешение на доступ к службе специальных возможностей Android, пока не получит необходимые полномочия для атаки.

Получив соответствующие разрешения, приложение действует как троян с функцией кейлоггера. Оно создаёт директорию «Config/sys/apps/log» во внешнем хранилище устройства и сохраняет логи в файлах формата «log-yyyy-mm-dd.log». Вредоносное ПО также собирает информацию о местоположении устройства, включая высоту, широту, долготу, точность и даже скорость перемещения.

Все собранные данные сжимаются с помощью API gZIPOutputStream и отправляются на C2-сервер. Подключение осуществляется через IP-адрес 154.213.65[.]28 и порт 7771. Сервер управления отвечает серией сжатых данных, содержащих системные команды и дополнительный APK-файл, представляющий собой любой вредонос на выбор злоумышленников.

Пользователям рекомендуется обновить свои устройства до последней версии программного обеспечения для устранения всех известных уязвимостей, а также загружать приложения только с проверенных платформ, таких как Google Play. Лишь бдительность и осторожность помогут защитить ценные данные от киберугроз, подобных SpyMax.

Темы:TelegramAndroidУгрозыRAT-трояныK7 Security Labs
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Опасные связи
    Популярные мессенджеры оказались под прицелом из-за нарушений конфиденциальности. Можно ли им доверять?

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...