Команда McAfee Mobile Research Team обнаружила новый банковский троян для Android, поражающий пользователей в Индии.
Описание
Маскируясь под утилитарные или банковские приложения, такие как сервисы оплаты газа, вредоносная программа заманивает пользователей, выдавая себя за доверенные сервисы и используя срочные уведомления, например предупреждения об оплате счетов. Она заразила 419 устройств, перехватила около 5 000 SMS-сообщений и похитила более 600 финансовых данных, включая данные банковских карт.
Вредоносная программа распространяется через платформы обмена сообщениями, такие как WhatsApp. Жертв обманом заставляют установить вредоносный APK, который маскируется под легитимное приложение, например PayRup, цифровую платежную платформу для оплаты государственных услуг в Индии. После установки приложения оно собирает финансовую информацию и отправляет ее на командно-контрольный сервер (C2), при этом отображая сообщение о сбое платежа, чтобы избежать подозрений. Тактика скрытности заключается в том, что вредонос прячет значок своего приложения и остается незамеченным на устройстве.
Примечательно, что для утечки данных вредоносная программа использует Supabase, бэкенд-как-сервис с открытым исходным кодом. Исследователи получили доступ к открытой базе данных и обнаружили более 5500 украденных записей, включая SMS-сообщения, данные карт и банковскую информацию. Было выявлено несколько вариантов мошенничества, в которых используются различные APK, маскирующиеся под сервисы выставления счетов за коммунальные услуги и крупные банковские учреждения. Кроме того, операторы вредоносной программы используют мобильное приложение для управления своей C2-инфраструктурой, демонстрируя расширенные возможности для координации атак.
Indicators of Compromise
SHA256
- 745f32ef020ab34fdab70dfb27d8a975b03e030f951a9f57690200ce134922b8
- 7cf38f25c22d08b863e97fd1126b7af1ef0fcc4ca5f46c2384610267c5e61e99
- b7209653e226c798ca29343912cf21f22b7deea4876a8cadb88803541988e941
