Новый вирус Android: угроза безопасности и конфиденциальности
В мире кибербезопасности появился новый вариант вредоносного ПО, нацеленный на пользователей Android. Под маской законного приложения «NextGen mParivahan» хранятся опасные функции, нацеленные на кражу данных пользователей. Этот отчет анализирует методы и возможности нового вредоносного программного обеспечения, выделяя тревожные тенденции в его распространении и функционировании.
Методы распространения
Ранее злоумышленники применяли правительственные уведомления о нарушениях правил дорожного движения для распространения вредоносных приложений. Новый вариант расширяет эту схему и включает:
- Поддельные уведомления о штрафах, побуждающие пользователей загружать вредоносные приложения.
- Расширение возможностей кражи данных, включая SMS-сообщения и уведомления из социальных сетей и приложений электронной коммерции, таких как WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и Amazon.
Технические характеристики вредоносного ПО
Этот новый вариант вредоносной программы основан на сложном механизме управления (C2) и использует высокие технологии для скрытия своей активности. Основные характеристики включают:
- Скрытие данных в скомпилированном файле .so.
- Динамическая генерация конфигураций C2 во время выполнения.
- Многоступенчатая архитектура dropper-загрузки с характеристиками, препятствующими статическому анализу.
- Архивирование APK-файлов с нетрадиционной схемой сжатия, что затрудняет их анализ.
Как работает вредоносное ПО
После установки приложения dropper, оно требует разрешений на:
- Запрос установленных пакетов.
- Установку новых приложений.
Следующий этап включает:
- Запрос обновлений приложения, которые приводят к установке вредоносной полезной нагрузки.
- Скрытие значка полезной нагрузки для повышения скрытности.
Потенциальные последствия
Вредоносное ПО запрашивает разрешения на отправку SMS и звонки, пытаясь получить конфиденциальные данные пользователей под предлогом отслеживания штрафов за транспортные средства. К тому же:
- Запрашивается доступ к уведомлениям, что позволяет вредоносному ПО отслеживать уведомления в целевых приложениях.
- Собранные данные о пользовательских взаимодействиях передаются на сервер C2.
Тактика вредоносных программ продолжает эволюционировать, что подчеркивает значительную угрозу для конфиденциальности пользователей. Традиционные механизмы обнаружения оказались недостаточно эффективными против таких сложных методов.
Рекомендации для пользователей
Чтобы защитить свою персональную информацию, пользователям настоятельно рекомендуется:
- Загружать приложения только из надежных источников.
- Соблюдать осторожность при выборе разрешений для приложений.
- Использовать надежное антивирусное программное обеспечение.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
