Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вредоносное ПО маскируется под приложения госуслуг в Азии

24/01/23

hack41-Jan-24-2023-11-04-03-5041-AM

Злоумышленники распространяют новую вредоносную программу для Android под названием Gigabud, выдавая себя за государственные учреждения, финансовые компании и другие организации из Таиланда, Перу и Филиппин. Об этом пишет Securitylab.

Киберпреступники обманом заставляют жертв загружать вредоносные приложения, имитирующие правительственные приложения, программы для покупок и для банковских кредитов. Исследователи Cyble обнаружили, что как только пользователь устанавливает вредоносное приложение, оно отображает поддельный экран входа в систему, который предлагает ввести свой номер мобильного телефона и пароль.

Метод работы

  • Gigabud использует процесс проверки на стороне сервера, чтобы убедиться, что введённый номер телефона является актуальным;
  • С экрана входа в систему вредоносное ПО отправляет жертве поддельный кредитный договор и уведомляет ее о необходимости подтверждения информации;
  • Gigabud не проявляет никакой вредоносной активности до финальной стадии, а затем запрашивает у жертвы разрешения на доступ к специальным возможностям, включая разрешение на запись экрана и отображение поверх других приложений;
  • Впоследствии Gigabud злоупотребляет службами специальных возможностей, чтобы собирать банковские учетные данные;

Злоумышленники использовали фишинговый сайт, имитирующий сайт Департамента специальных расследований (DSI) Таиланда, на котором распространяли Gigabud (DSI[.]apk), после чего DSI выпустило предупреждение в июле 2022 года. Кроме того, Gigabud также выдавал себя за Минфин Тайланда, Студенческий кредитный фонд, различные банки Тайланда и другие учреждения. Позже хакеры начали распространять вредоносное ПО в Перу и на Филиппинах.

Операторы Gigabud активно работают над распространением своего вредоносного ПО в новые географические регионы. Они приняли новую тактику, процесс проверки на стороне сервера, чтобы избежать обнаружения и поддерживать кампанию в течение длительного периода времени. Эксперты подозревают, что в ближайшем будущем операторы вредоносного ПО продолжат расширять свои цели и возможности за счет новых вариантов и функций.

Темы:Преступленияфальшивые приложенияCyble
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...