RAT-троян SpyMax атакует пользователей Telegram
04/07/24
Исследователи в области кибербезопасности из K7 Labs выявили новую угрозу для пользователей Telegram. Вредоносное программное обеспечение, известное как SpyMax, представляет собой троян удалённого доступа (RAT), разработанный для кражи конфиденциальных данных с Android-устройств, пишет Securitylab.
Для работы SpyMax не требуется root-доступ к устройству, что существенно упрощает злоумышленникам нанесение ущерба. Вредоносное ПО может собирать личную и приватную информацию с заражённых устройств без ведома пользователя. Собранные данные затем отправляются удалённому злоумышленнику, который, вдобавок, может отправлять специализированные вредоносные команды на устройство жертвы.
Последняя фишинговая компания, обнаруженная экспертами K7 Labs, направлена на пользователей «синего мессенджера». В атаках используется поддельное приложение Telegram, чтобы заставить жертв установить вредоносного ПО под видом легитимного. Его скачивание инициализируется с мошеннической страницы, имитирующей Google Play, расположенной по адресу «telegroms[.]icu/assets/download/ready.apk». Вредоносное ПО умело маскируется под приложение Telegram, используя схожий значок и название.
После запуска RAT постоянно запрашивает у пользователя разрешение на доступ к службе специальных возможностей Android, пока не получит необходимые полномочия для атаки.
Получив соответствующие разрешения, приложение действует как троян с функцией кейлоггера. Оно создаёт директорию «Config/sys/apps/log» во внешнем хранилище устройства и сохраняет логи в файлах формата «log-yyyy-mm-dd.log». Вредоносное ПО также собирает информацию о местоположении устройства, включая высоту, широту, долготу, точность и даже скорость перемещения.
Все собранные данные сжимаются с помощью API gZIPOutputStream и отправляются на C2-сервер. Подключение осуществляется через IP-адрес 154.213.65[.]28 и порт 7771. Сервер управления отвечает серией сжатых данных, содержащих системные команды и дополнительный APK-файл, представляющий собой любой вредонос на выбор злоумышленников.
Пользователям рекомендуется обновить свои устройства до последней версии программного обеспечения для устранения всех известных уязвимостей, а также загружать приложения только с проверенных платформ, таких как Google Play. Лишь бдительность и осторожность помогут защитить ценные данные от киберугроз, подобных SpyMax.