Опасный Android-шпион маскируется под официальное приложение правительства Индии

Анализ показал, что злоумышленники намеренно искажают структуру APK-файлов, чтобы затруднить статический анализ. Такие инструменты, как Apktool и Jadx, не смогли декомпилировать вредоносный код, что усложнило его изучение. Однако с помощью специализированного ПО исследователям удалось извлечь AndroidManifest.xml, где обнаружились подозрительные разрешения, включая QUERY_ALL_PACKAGES и REQUEST_INSTALL_PACKAGES, позволяющие устанавливать приложения без ведома пользователя.

После установки троянец вынуждает пользователя загрузить «обновление», которое на самом деле является отдельным вредоносным приложением с тем же названием. Оно запрашивает разрешение на создание VPN-подключения, что позволяет злоумышленникам перехватывать сетевой трафик. Далее программа просит разрешения на установку ПО из неизвестных источников и скрытно инсталлирует дополнительный модуль.

Фальшивое приложение имитирует интерфейс государственной программы «PM-Kisan Samman Nidhi» и собирает личные данные: имя, номер телефона, Aadhaar Card, PAN Card и дату рождения. Кроме того, оно запрашивает доступ к SMS, что позволяет зловреду перехватывать сообщения и отправлять их на командный сервер (C2).

Эксперты отмечают, что злоумышленники постоянно совершенствуют методы обхода защиты. Уже обнаружен новый вариант этого троянца под названием «Salvador». Пользователям настоятельно рекомендуется устанавливать приложения только из официального Google Play Store, регулярно обновлять ОС и использовать надежные антивирусные решения, такие как K7 Mobile Security. Бдительность и соблюдение базовых правил кибербезопасности помогут избежать подобных угроз.

MD5

• 1a1492b7137187f889dbc3c62991fbb4
• 39ecbe64e324d7ed9001a001a1a02edd
• 4d88539abed469b952734a0ec82528fa
• 6ac966298d7411c891521c9ba2f4efaa
• 6cbdc73258944c70426a6472a22b02eb
• a6e03e3fbe4eefffea8167c711f516ac
• c15169f82b6faa4ab4d1153bd1f29d79
• c454724659b3a7e20943259b34f4cf6c