В последнее время участились случаи мошенничества, связанные с вредоносными приложениями для Android. Один из таких инцидентов произошел с пользователем, не являющимся клиентом K7, который установил APK-файл, полученный через WhatsApp. В результате злоумышленникам удалось похитить средства с его банковских счетов. После тщательного анализа эксперты выявили, что это была фишинг-кампания, нацеленная на индийских пользователей под видом «свадебного приглашения».
Описание
Приложение, замаскированное под безобидное свадебное приглашение, на самом деле оказалось Android SpyMax - инструментом удаленного администрирования (RAT). Этот вредоносный софт способен собирать личные данные с зараженного устройства без ведома владельца и передавать их злоумышленникам. Это дает преступникам полный контроль над устройством, угрожая конфиденциальности и безопасности пользователя.
После установки приложение требует установить его в качестве основного домашнего приложения, а также разрешить установку программ из неизвестных источников. Затем, под видом системного обновления, оно устанавливает дополнительный вредоносный модуль с пакетным именем com.android.pictach. Этот модуль запрашивает разрешения на чтение SMS-сообщений и доступ к контактам, что позволяет злоумышленникам перехватывать банковские OTP-коды и двухфакторную аутентификацию.
Опасность SpyMax заключается в его способности перехватывать все нажатия клавиш (кейлоггинг), сохраняя логи в скрытой папке на устройстве. Это означает, что любая введенная информация - банковские реквизиты, пароли, PIN-коды - может оказаться в руках злоумышленников. Кроме того, вредоносное ПО активно собирает данные из уведомлений, включая сообщения от банков и мессенджеров, что делает его особенно опасным для финансовой безопасности пользователей.
Собранные данные сжимаются с помощью gZIP и отправляются на командный сервер злоумышленников (C2) по IP-адресу 104.234.167[.]145 через порт 7860. Эксперты предполагают, что полученной информации достаточно для несанкционированного перевода средств с банковских счетов жертв. Также есть риск, что вредоносное приложение может автоматически рассылаться контактам пользователя, хотя в данном образце подобный функционал не был обнаружен.
При анализе кода выяснилось, что SpyMax проверяет наличие на устройстве защитных решений от известных производителей, возможно, с целью их обхода. Это еще раз подчеркивает важность использования надежных антивирусных программ.
Компания K7 рекомендует пользователям регулярно обновлять защитное ПО и сканировать устройства на наличие угроз. Безопасность личных данных - это не роскошь, а необходимость в современном цифровом мире. Будьте бдительны и не позволяйте мошенникам воспользоваться вашей доверчивостью.
Индикаторы компрометации
IPv4
- 104.234.167.145
IPv4 Port Combinations
- 104.234.167.145:7860
MD5
- 66a7fd9bd39b1ba0c097698b68fd94a7
- c58b2bacd7c34ef998497032448e3095
