Предупреждение: новое вредоносное ПО для Android заразило множество устройств в Азии

Исследователи безопасности предупреждают об обнаружении двух новых Android-троянцев, нацеленных на пользователей в Юго-Восточной Азии и Восточной Азии, причем один из них уже собрал сотни тысяч установок через магазин приложений Google Play.

Иллюстрация фото.

Согласно отчету известной российской компании по кибербезопасности «Лаборатории Касперского», этот троян, получивший название Fleckpe, впервые появился в 2022 году, распространяясь через вредоносные приложения в магазине приложений Google Play.

«Лаборатория Касперского» обнаружила в официальном магазине приложений Google Play в общей сложности 11 вредоносных приложений, которые были установлены более 620 000 раз. Вредоносные приложения, такие как утилиты для редактирования фотографий, пакеты обоев для смартфонов и подобное ПО, были удалены из магазина приложений Google Play.

После активации на зараженном устройстве вредоносная программа Fleckpe загружает библиотеку, содержащую вирусную программу, целью которой является установление соединения с сервером управления и контроля (C&C) и отправка информации о зараженном устройстве.

Сервер отвечает платной страницей регистрации, которую троян загружает в невидимом окне браузера. Если для регистрации требуется код подтверждения, вредоносная программа использует ранее запрошенный доступ к области уведомлений, получает этот код и вводит его на странице для завершения регистрации.

Большинство жертв вредоносного ПО Fleckpe были выявлены в Таиланде, однако вредоносное ПО также заразило устройства пользователей в Индонезии, Малайзии, Польше и Сингапуре.

Вторая недавно обнаруженная вредоносная программа, FluHorse, также распространяется через вредоносные приложения. Однако, в отличие от Fleckpe, эти приложения попадают на устройства жертв через фишинговые письма, сообщила израильская компания Check Point, специализирующаяся на кибербезопасности.

Вредоносное ПО FluHorse имитирует популярные приложения, имеющие более 1 миллиона установок в магазине приложений Google Play, и разработано специально для пользователей на Тайване (приложения для оплаты проезда) и во Вьетнаме (банковские приложения).

Вредоносное ПО собирало учётные данные жертв и коды двухфакторной аутентификации (2FA), передаваемые по SMS, и отправляло их операторам связи. Фишинговые письма содержали приманки, связанные с оплатой проезда, и направляли жертв на поддельный веб-сайт, который использовался для распространения вредоносных приложений.

После того как жертва устанавливает вредоносное приложение, ей предлагается ввести свои учетные данные для входа, а затем подождать 10 или 15 минут, пока информация не будет проверена.

В это время злоумышленники пытаются использовать учетные данные для выполнения вредоносных транзакций, а вредоносное ПО ранее запрашивало разрешения на перенаправление любых кодов подтверждения SMS злоумышленникам.

По данным компании Check Point, занимающейся кибербезопасностью, жертвами вредоносного ПО FluHorse стали самые разные люди, в том числе видные деятели, в том числе правительственные чиновники./.