СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

Android-кампания с фишингом и утечкой данных через Telegram

SonicWall Capture Labs зафиксировала новую злонамеренную кампанию для Android, в которой злоумышленники используют заманчивые рекламные сообщения и push‑уведомления, чтобы убедить пользователей установить поддельные приложения. После установки такие приложения требуют навязчивых разрешений, выполняют фишинговые сценарии и эксфильтрируют финансовые данные — включая данные карт, одноразовые пароли (OTP) и PIN‑коды UPI.

«SonicWall Capture Labs выявила злонамеренную кампанию для Android, которая нацелена на пользователей рекламными предложениями и уведомлениями, стремясь обмануть их и заставить загрузить вредоносные приложения.» — SonicWall Capture Labs

Механизм распространения

Кампания распространяется через социальные сети, мессенджеры и сторонние магазины приложений. Жертв заманивают сообщениями о кэшбэке, бонусах и штрафах за дорожные правонарушения — темами, которые наиболее эффективно стимулируют доверие и интерес со стороны потенциальных жертв.

Как работает вредоносное приложение

  • После установки приложение запрашивает ряд навязчивых разрешений, необходимых для доступа к SMS, звонкам и уведомлениям.
  • Через фишинговые страницы внутри приложения злоумышленники выманивают у пользователей данные кредитных карт, OTP и PIN‑коды UPI.
  • Приложение собирает широкие телеметрические данные о устройстве и устанавливает связь с серверами управления и контроля (C2), контролируемыми злоумышленниками.
  • Одновременно реализуются возможности перехвата входящих звонков и SMS, что делает возможным обход двухфакторной аутентификации и подмену транзакций.

Технические детали эксфильтрации

Одна из ключевых техник злоумышленников — использование локального WebView для загрузки файла index.html, находящегося в папке assets приложения. Этот файл содержит вредоносные скрипты, которые собирают личные данные (включая номер телефона) и передают их злоумышленнику через Telegram.

Механизм эксфильтрации устроен следующим образом:

  • Скрипты внутри index.html извлекают конфиденциальную информацию с интерфейса приложения.
  • Полученные данные отправляются на Telegram‑bot злоумышленника с использованием токена bot и идентификатора чата (chat ID), что упрощает автоматизированный сбор и агрегирование украденных данных.

Целевая аудитория и мотивация

Исследование указывает, что кампания в основном ориентирована на пользователей в Индии — злоумышленники используют локализованные сценарии (кэшбэк, штрафы), которые хорошо откликаются на финансовые мотивы местной аудитории.

Риски для пользователей

  • Кража данных карт и банковских реквизитов.
  • Перехват одноразовых паролей (OTP) и SMS — обход MFA.
  • Кража PIN‑кодов UPI и возможность несанкционированных платежей.
  • Длительная связность с C2 и постоянная утечка персональных данных.
  • Автоматизированная агрегация украденных данных через Telegram‑ботов.

Рекомендации по защите

Чтобы снизить риск заражения и утечки данных, специалисты по безопасности и конечные пользователи должны учитывать следующие меры:

  • Устанавливать приложения только из официального магазина Google Play и проверять репутацию разработчика.
  • Осторожно относиться к ссылкам в социальных сетях и мессенджерах, особенно если они обещают кэшбэк или штрафы.
  • Внимательно проверять запрашиваемые разрешения — отказать в доступе к SMS/звонкам, если они не требуются для работы легитимного приложения.
  • Использовать многофакторную аутентификацию, по возможности — без привязки к SMS.
  • Регулярно обновлять ОС и приложения, а также применять решения для защиты конечных точек.
  • Организациям рекомендовано рассмотреть специализированные решения, такие как Capture ATP с Инспекцией Глубокой Памяти в Реальном времени (RTDMI), для обнаружения и блокирования современных образцов вредоносного ПО.
  • Удалять подозрительные приложения и немедленно обращаться в банк при признаках несанкционированной активности.

Вывод

Кампания демонстрирует скоординированный и многоканальный подход злоумышленников: социальная инженерия, локальные WebView‑фишинговые страницы и автоматизированная эксфильтрация через Telegram делают угрозу особенно опасной для пользователей с низкой осведомлённостью. Комплексная защита — сочетание безопасных практик пользователей и современных антималварных решений — остаётся ключевым барьером против таких атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: