Вредоносная программа для банковских приложений на Android предупреждает об угрозах для пользователей в 21 стране.
Масштабная кампания по распространению вредоносного ПО для банковских приложений на Android, связанная с фишинговыми организациями, охватывает весь мир и угрожает пользователям в 21 стране.
В новом отчете Infoblox Threat Intel, подразделения Infoblox (США), занимающегося исследованиями в области безопасности, выявлена тревожная связь между двумя, казалось бы, отдельными проблемами: центрами мошенничества с принудительным трудом в Юго-Восточной Азии и глобальной кампанией по распространению банковского вредоносного ПО для Android.

Согласно исследованию, проведенному в сотрудничестве с Организацией по борьбе с мошенничеством (Вьетнам), это первый случай, когда эксперты получили убедительные доказательства того, что жертвы, принужденные к посещению «центров мошенничества», используются для распространения вредоносного программного обеспечения, напрямую нацеленного на пользователей цифровых банковских услуг.
Организованная транснациональная сеть мошенничества.
В отчете указывается, что операция по распространению вредоносного ПО хорошо организована и носит масштабный характер. Оперативные группы постоянно создают поддельные доменные имена, в среднем около 35 новых доменов в месяц, предназначенные для имитации банковских интерфейсов или известных сервисов.
Эти веб-сайты действуют как «ловушки», чтобы обманом заставить пользователей установить вредоносные приложения в формате APK. Мошенничество часто сводится к поддельным банковским уведомлениям, оповещениям о проблемах со счетом, уведомлениям о доставке и срочным запросам на подтверждение.
При переходе по ссылке пользователи будут перенаправлены на поддельные страницы загрузки приложения, в результате чего непреднамеренно установят вредоносное ПО на свои устройства Android.
Вредоносное ПО захватывает контроль над устройствами и крадет деньги в режиме реального времени.
После проникновения в систему это банковское вредоносное ПО быстро получает полный контроль над устройством. По данным Infoblox, вредоносная программа способна перехватывать и читать SMS-сообщения; обходить биометрическую аутентификацию; а также отслеживать и манипулировать банковскими транзакциями.
Примечательно, что вредоносное ПО может напрямую вмешиваться в транзакции в режиме реального времени. Это позволяет злоумышленникам переводить деньги, пока пользователи используют приложение, без ведома жертвы.
Кроме того, в нем используются методы наложения, позволяющие отображать поддельные экраны входа в систему поверх реального банковского приложения, тем самым похищая данные для входа. В некоторых случаях хакеры даже могут удаленно управлять устройством, выполняя действия, как если бы они были пользователем.
Модель «вредоносное ПО как услуга» опасна.
Исследователи описывают эту кампанию как работающую по модели «вредоносное ПО как услуга». Соответственно, техническая инфраструктура и инструменты атаки создаются централизованно, а «филиалы» отвечают за распространение и взаимодействие с жертвами.
Такая организационная структура снижает барьер для входа, позволяя многочисленным преступным группам использовать систему, не разрабатывая собственное вредоносное ПО. Именно поэтому кампания смогла быстро распространиться на многие страны.
Фактически, жертвами стали пользователи из многих регионов, от Юго-Восточной Азии (Индонезия, Таиланд) до Европы (Испания, Турция) и даже Латинской Америки. Вредоносное ПО способно адаптироваться к местным языкам и банковским системам, что повышает вероятность успешной атаки.
Связи с мошенническими центрами в Камбодже
Одним из наиболее поразительных аспектов доклада является его прямая связь с мошенническими операциями в Камбодже, в частности, с предполагаемым центром киберпреступности в Сиануквиле.
Исследователи установили, что часть инфраструктуры кампании управлялась из таких мест, как K99 Triumph City – комплекс, который описывается как тщательно охраняемый объект, связанный с киберпреступностью.
Что еще более серьезно, тех, кого обманом заманивают на работу, часто принуждают к участию в распространении вредоносного ПО, от рассылки фишинговых сообщений до указаний жертвам устанавливать приложения. Это делает данную кампанию не только высокотехнологичным преступлением, но и связанной с торговлей людьми и принудительным трудом.
Ранее многочисленные международные отчеты также документировали случаи, когда граждан заманивали в Камбоджу обещаниями привлекательной работы, а затем принуждали к участию в онлайн-мошенничествах.
Предупреждения и рекомендации для пользователей Android.
Эксперты предупреждают, что сочетание сложных технологий и организованной преступности представляет серьезную угрозу для пользователей по всему миру, особенно в секторе цифровых финансов.
Чтобы свести риски к минимуму, пользователям Android необходимо:
— Устанавливайте приложения только из магазина Google Play или официальных источников.
— Не переходите по ссылкам в подозрительных сообщениях или электронных письмах.
Избегайте загрузки APK-файлов с сайтов неизвестного происхождения.
— Внимательно проверьте права доступа приложения, особенно права на отправку SMS и права доступа для людей с ограниченными возможностями.
Кроме того, пользователям следует с осторожностью относиться к предложениям о работе за границей, особенно к тем, которые не отличаются прозрачностью.
В условиях все более изощренных и глобальных кампаний кибератак повышение осведомленности и соблюдение основных принципов безопасности остаются крайне важными для защиты личных активов и данных.


