Фишинг через Android: новое приложение SBI BANK угрожает безопасности

Фишинг через Android: новое приложение SBI BANK угрожает безопасности

Киберпреступники продолжают использовать фишинговые методы для эксплойтации пользователей. Недавний инцидент с APK-приложением, представленным как «приложение для вознаграждений SBI BANK», подчеркивает растущую угрозу. Это приложение распространялось через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) с обещанием бонусных баллов, а также требовало от пользователей внести депозит в размере 9980 рупий.

Подозрительные признаки и анализ приложения

Сразу же бросились в глаза:

  • Грамматические ошибки в сообщении;
  • Непрофессиональное оформление, вызывающее сомнения в легитимности предложения.

При более глубоком анализе APK-файла были выявлены следующие тревожные моменты:

  • Запрашиваемые разрешения, такие как доступ к SMS, контактам и журналам вызовов;
  • Подозрительные компоненты в манифесте, включая BackgroundService, SMSReceiver и BootBroadcastReceiver;
  • Широкий доступ к данным пользователя, что указывает на желание злоумышленников получить конфиденциальную информацию.

Заключительные выводы и угрозы

Особое внимание вызвал файл publicsuffixes.gz, содержащий несвязанный текст на китайском языке, указывающий на возможное иностранное участие в разработке приложения. Кроме того, были обнаружены жестко закодированные URL-адреса, ведущие на серверы управления (C2), что еще раз подтверждает злонамеренное намерение приложения извлечь банковские данные пользователей.

Динамический анализ, проведенный в контролируемой среде, выявил поддельные экраны входа в систему, имитирующие законные страницы SBI, предназначенные для кражи учетных данных пользователей. В результате проверки на VirusTotal файл был классифицирован как вредоносный, и высокая частота обнаружения указывает на признаки, схожие с троянами.

Несмотря на это, один из идентифицированных доменов, https://socket.missyou9.in, был связан с несколькими другими приложениями APK, имитирующими различные банковские сервисы. Другой домен, зарегистрированный всего за два месяца до анализа, пока еще не был отмечен на общедоступных платформах анализа угроз.

Эти факты подчеркивают важность бдительности при взаимодействии с незнакомыми приложениями и ссылками, особенно в контексте финансовых предложений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: