13/05/21
Специалисты компании Pradeo предупредили о новом вредоносном ПО для Android, выдаваемом злоумышленниками за приложение Google Chrome. Поддельное приложение является частью сложной гибридной вредоносной кампании, в рамках которой киберпреступники также используют фишинг для похищения у жертв их учетных данных. По словам специалистов, за последние несколько недель поддельный Google Chrome был установлен на сотни тысяч Android-устройств.
Как пояснили исследователи, атака начинается с так называемого смишинга (от «SMS» и «фишинг») – жертва получает SMS-сообщение с требованием уплатить таможенный сбор за доставку посылки. Если пользователь попался на удочку и нажал на представленную в сообщении ссылку, появляется уведомление о необходимости обновить Google Chrome. После принятия предложения обновить браузер пользователь переадресовывается на сайт с приложением, которое на самом деле является вредоносным.
Когда «обновление» установится, жертва попадает на фишинговую страницу, завершающую схему социальной инженерии. Пользователя просят заплатить небольшую сумму (обычно $1-2), но, безусловно, злоумышленников интересует не этот мизерный заработок, а данные банковской карты жертвы.
По словам специалистов, за вредоносной кампанией стоят обычные, но весьма сообразительные киберпреступники. Используемые ими техники (сокрытие кода, смишинг, похищение данные, повторное архивирование и пр.) по отдельности являются очень простыми, но в совокупности позволяют проводить операцию, которую сложно обнаружить и которая отличается быстротой и эффективностью.
Источником распространения вредоноса является поддельное приложение Google Chrome. Установившись на устройстве жертвы, оно рассылает более 2 тыс. SMS-сообщений в неделю. Сообщения рассылаются ежедневно в течение 2-3 часов в фоновом режиме. Телефонные номера выбираются случайным образом и не берутся из телефонной книги жертвы.
