На рынке дешевых Android-смартфонов, произведенных китайскими компаниями, выявлена новая угроза: предустановленные троянские приложения, которые маскируются под популярные мессенджеры WhatsApp и Telegram. Эти приложения содержат вредоносные функции, такие как криптоклипперы, предназначенные для кражи средств из криптовалютных кошельков. Кампания действует с июня 2024 года, что подчеркивает систематический характер угрозы.
Целевые устройства и имитация премиум-моделей
Основной целью атаки стали бюджетные устройства, подражающие популярным премиальным смартфонам от таких брендов, как Samsung и Huawei. Среди них модели с названиями, напоминающими известные бренды, такие как S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra. По меньшей мере четыре модели принадлежат бренду SHOWJI.
Механизм действия вредоносных приложений
Создание таких троянских приложений возможно благодаря использованию проекта с открытым исходным кодом LSPatch, который позволяет внедрять вредоносный код в легитимное программное обеспечение. Исследователи обнаружили, что около 40 различных приложений, включая популярные мессенджеры и утилиты для сканирования QR-кодов, были модифицированы таким образом.
Эти приложения используют механизм перехвата обновлений, загружая APK-файлы с серверов, контролируемых злоумышленниками. После установки приложение начинает анализировать сообщения, отправляемые через мессенджеры, в поисках адресов криптовалютных кошельков.
Если такие адреса обнаружены, вредоносное ПО заменяет их на адреса, принадлежащие злоумышленникам. Это позволяет мошенникам перенаправлять средства на свои кошельки.
Сбор данных и анализ изображений
Кроме подмены адресов кошельков, вредоносные приложения собирают обширный объем данных с зараженных устройств. Среди них:
Организация кампании и масштабы ущерба
На данный момент идентификация организаторов кампании не завершена. Однако известно, что злоумышленники использовали около 30 доменов для распространения троянских приложений, а также более 60 серверов управления (C2) для координации операций. Анализ криптовалютных кошельков, связанных с атакой, показал, что злоумышленники получили более $1,6 миллиона за последние два года. Это свидетельствует о том, что атака на цепочку поставок оказалась успешной.
Параллельные угрозы в экосистеме Android
Параллельно с этой кампанией была обнаружена новая угроза — вредоносное ПО под названием Gorilla, описанное швейцарской компанией PRODAFT. Эта вредоносная программа, написанная на Kotlin, предназначена для сбора конфиденциальной информации, включая номера телефонов, данные SIM-карт и список установленных приложений. Gorilla обеспечивает постоянный доступ к зараженным устройствам и может выполнять команды с серверов управления. По мнению экспертов, это ПО находится на стадии активной разработки, так как пока не использует сложные методы маскировки. Кроме того, в Google Play Store были обнаружены приложения с трояном FakeApp, которые имитировали популярные игры и приложения. Эти приложения удалены, но их активность включает загрузку фишинговых сайтов и отображение поддельных окон авторизации, что угрожает безопасности пользователей.
Рост угроз в цепочке поставок
Традиционно злоумышленники использовали зараженные приложения, распространяемые через сторонние магазины приложений или фишинговые сайты, однако последние данные от российской компании Doctor Web свидетельствуют об эволюции этой стратегии. Злоумышленники теперь атакуют саму цепочку поставок, модифицируя программное обеспечение, которое предустанавливается на устройствах.Целевые устройства и имитация премиум-моделей
Основной целью атаки стали бюджетные устройства, подражающие популярным премиальным смартфонам от таких брендов, как Samsung и Huawei. Среди них модели с названиями, напоминающими известные бренды, такие как S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra. По меньшей мере четыре модели принадлежат бренду SHOWJI.
Для введения пользователей в заблуждение злоумышленники используют программное обеспечение, которое изменяет отображаемую информацию о технических характеристиках устройств. Это касается данных, отображаемых на экране “О телефоне”, а также информации в популярных диагностических приложениях, таких как AIDA64 и CPU-Z. В результате пользователи ошибочно полагают, что их устройства работают на Android 14 и обладают более мощным оборудованием, чем на самом деле.
Механизм действия вредоносных приложений
Создание таких троянских приложений возможно благодаря использованию проекта с открытым исходным кодом LSPatch, который позволяет внедрять вредоносный код в легитимное программное обеспечение. Исследователи обнаружили, что около 40 различных приложений, включая популярные мессенджеры и утилиты для сканирования QR-кодов, были модифицированы таким образом.
Эти приложения используют механизм перехвата обновлений, загружая APK-файлы с серверов, контролируемых злоумышленниками. После установки приложение начинает анализировать сообщения, отправляемые через мессенджеры, в поисках адресов криптовалютных кошельков.
Если такие адреса обнаружены, вредоносное ПО заменяет их на адреса, принадлежащие злоумышленникам. Это позволяет мошенникам перенаправлять средства на свои кошельки.
Сбор данных и анализ изображений
Кроме подмены адресов кошельков, вредоносные приложения собирают обширный объем данных с зараженных устройств. Среди них:
- Информация об устройстве (модель, версия ОС, характеристики);
- Все сообщения WhatsApp;
- Файлы изображений из таких папок, как DCIM, Pictures, Alarms, Downloads, Documents и Screenshots.
Организация кампании и масштабы ущерба
На данный момент идентификация организаторов кампании не завершена. Однако известно, что злоумышленники использовали около 30 доменов для распространения троянских приложений, а также более 60 серверов управления (C2) для координации операций. Анализ криптовалютных кошельков, связанных с атакой, показал, что злоумышленники получили более $1,6 миллиона за последние два года. Это свидетельствует о том, что атака на цепочку поставок оказалась успешной.
Параллельные угрозы в экосистеме Android
Параллельно с этой кампанией была обнаружена новая угроза — вредоносное ПО под названием Gorilla, описанное швейцарской компанией PRODAFT. Эта вредоносная программа, написанная на Kotlin, предназначена для сбора конфиденциальной информации, включая номера телефонов, данные SIM-карт и список установленных приложений. Gorilla обеспечивает постоянный доступ к зараженным устройствам и может выполнять команды с серверов управления. По мнению экспертов, это ПО находится на стадии активной разработки, так как пока не использует сложные методы маскировки. Кроме того, в Google Play Store были обнаружены приложения с трояном FakeApp, которые имитировали популярные игры и приложения. Эти приложения удалены, но их активность включает загрузку фишинговых сайтов и отображение поддельных окон авторизации, что угрожает безопасности пользователей.
Последнее редактирование модератором:
