СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
06.06.2025
#ИБ#Инфра

Новая угроза Android: дроппер «PM KISAN YOJNA» обходит защиту

Новая угроза Android: дроппер 171PM KISAN YOJNA187 обходит защиту

Источник: labs.k7computing.com

В недавних отчетах о телеметрии эксперты выявили опасный Android-малварь, который выдает себя за официальное приложение PM KISAN YOJNA. Эта вредоносная программа выполняет роль дроппера, способного загружать дополнительную полезную нагрузку, предназначенную для кражи конфиденциальных данных пользователей.

Многоступенчатая искажённая технология для обхода защиты

Особенностью данного вредоносного ПО является _многоступенчатая_ технология дроппинга с намеренным искажением кода. Это усложняет процесс анализа и затрудняет использование традиционных инструментов статического анализа и декомпиляции, таких как Apktool и Jadx. Благодаря таким техникам злоумышленники обходят классические методы защиты и снижают шансы обнаружения своих действий.

Механизм работы вредоносного ПО

  • После установки пользователь получает предложение скачать «обновление», запрашивающее разрешения на установку VPN-соединения.
  • Вредоносное ПО объясняет это необходимостью настройки VPN для управления сетевым трафиком приложения PM KISAN YOJNA, что является обманной тактикой.
  • Если пользователь соглашается, появляется запрос на разрешение установки приложений из _неизвестных источников_, что существенно облегчает дальнейшее внедрение вредоносного кода.
  • После этого ПО устанавливает соединение с command-and-control (C2) серверами, доступ к которым осуществляется без ведома пользователя.
  • Вредоносная программа способна отправлять SMS-сообщения с устройства, что представляет дополнительную угрозу безопасности.

На момент проведения анализа указанный сервер C2 был отключен, однако это не исключает дальнейшей активности злоумышленников.

Распространение новых версий и эволюция угрозы

Обнаружена новая разновидность данного вредоноса под названием Salvador. Она находится в стадии активного распространения, что свидетельствует о постоянно совершенствующихся методах киберпреступников. Злоумышленники продолжают улучшать механизмы имитации легитимных приложений, расширять функционал похищения данных и избегать обнаружения.

Рекомендации по защите от угроз

Для минимизации рисков, связанных с такими сложными вредоносными программами, эксперты советуют:

  • Не загружать приложения из _неофициальных_ или сомнительных источников.
  • Регулярно обновлять операционную систему и устанавливать актуальные патчи безопасности.
  • Использовать надежные антивирусные и защитные решения, способные выявлять новые тактики вредоносных программ.
  • Внимательно относиться к запросам на установку VPN и установку приложений из неизвестных источников.

Соблюдение этих рекомендаций поможет снизить вероятность успешного внедрения вредоносного ПО и сохранить безопасность персональных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: