Лаборатория Касперского обнаружила вредоносную кампанию на Android, которая использует приглашения на свадьбу в качестве приманки для заражения устройств жертв и установки вредоносного приложения Tria Stealer. Главной целью кампании являются пользователи в Малайзии и Брунее, причем Малайзия стала наиболее пострадавшей страной.
Tria Stealer
Проведенное расследование позволило предположить, что эта кампания скорее всего проводится индонезийскими злоумышленниками, так как в образцах вредоносного ПО обнаружены артефакты, написанные на индонезийском языке, а также шаблоны имен ботов Telegram, используемых для размещения серверов C2.
Tria Stealer собирает SMS-сообщения, данные о звонках, сообщения из приложений WhatsApp и WhatsApp Business, а также данные электронной почты из почтовых ящиков Gmail и Outlook. Затем эта информация отправляется через различные боты Telegram с использованием Telegram API. Злоумышленники используют эти данные для получения доступа к учетным записям личных сообщений, выдачи себя за владельцев учетных записей для осуществления мошенничества и компрометации учетных записей других сервисов.
Дальнейшее расследование выявило, что злоумышленники используют украденные сообщения и электронную почту для получения кодов безопасности аккаунтов WhatsApp и Telegram жертв. Захваченные аккаунты злоумышленники используют для распространения вредоносного приложения среди контактов жертв. Они также получают доступ к аккаунтам жертв на других платформах, запрашивая коды авторизации транзакций и одноразовые пароли для соответствующих платформ и используя их для доступа к кодам безопасности, перехватываемым в текстовых сообщениях.
Агент Tria Stealer распространяется через личные и групповые чаты в Telegram и WhatsApp с использованием сообщений, приглашающих получателей на свадьбу и требующих установки вредоносного приложения для просмотра пригласительного билета.
Когда вредоносное приложение установлено на устройстве, оно проверяет, открывается ли оно впервые, и запрашивает разрешение на доступ к чтению SMS-сообщений. После подтверждения разрешения открывается пользовательское диалоговое окно с запросом ввести номер телефона.
Indicators of Compromise
MD5
- 0e837107c42ee8282fd273e4a100b2de
- 162ed054914a8c71ad02126693c40997
- 3993142deafce26820411191e4fa9af8
- 43c6cb115876bf791a7816a3c7791ea8
- 448fd25e24980bb0abd1208b0395a8e1
- 4e7a72f32d5b6679a58c8261049d063b
- 4ff2572a40300c0cce4327ec34259902
- 5ed3ef03ca89c67bf93bb9230f5e4e52
- 6344466e975f89d8992080e2f0741661
- 96143c28e7937f64ecdb6f87510afbbe
- 9698fa3e7e64272ff79c057e3b8be5d8
- 9a0147d4c9d6ed3be82825ce35fdb4ee
- b8f4ac57c06755e98ecd263020aeaa82
- daa30cd6699c187bb891448b89be1340
- de9384577e28c52f8dc690b141098969
- e4da1332303b93f11d40787f7a79b917
