Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Эти Android-приложения следят за вами и воруют деньги (http://txgate.io:443/showthread.php?t=51302060)

Artifact 07-27-2025 02:14 PM
<div id="post_message_805556">

Как трояны получают контроль над смартфоном через диалоговое окно.<br/>
<br/>
Исследователи из компании CYFIRMA <a href="https://www.cyfirma.com/research/android-malware-posing-as-indian-bank-apps/" target="_blank">предупредили </a>о новой волне атак с использованием вредоносных Android-приложений, которые маскируются под официальные банковские клиенты, чтобы красть данные пользователей, перехватывать сообщения и совершать несанкционированные финансовые операции. По словам аналитиков, эти программы особенно активно нацелены на клиентов индийских банков и используют продвинутые методы маскировки и обхода защиты. Основной вредонос распространяется через фальшивые сайты, мессенджеры, фишинговые сообщения и даже поддельные обновления системы.<br/>
<br/>
После установки приложение запрашивает критически важные разрешения и незаметно для пользователя запускает скрытую активность. Вредонос может читать и отправлять SMS, перехватывать одноразовые коды и уведомления, отслеживать телефонные звонки и собирать данные о SIM-картах. Он использует Firebase как канал управления и хранения украденной информации, а также применяет методы автозапуска при перезагрузке устройства для сохранения присутствия.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/900/j91znpo5b3x8kc49fkb3dhjuvwu2t116.png"/><br/>
<br/>
Одна из особенностей атаки — её модульная архитектура. Вредонос состоит из двух частей: дроппера и основного полезного компонента. Сначала загружается APK-дроппер, который использует скрытый механизм установки и имитирует действия обычного приложения. После этого, с помощью специально настроенного интерфейса, пользователь обманом перенаправляется к установке второго APK-файла, в котором содержатся функции кражи данных. Главный компонент скрывается из списка приложений, не показывает иконку и работает полностью в фоновом режиме.<br/>
<br/>
Механизмы социальной инженерии играют ключевую роль. Пользователю показываются фальшивые формы ввода, полностью имитирующие интерфейс реального банковского приложения. При этом проверяются даже длина номера телефона и пин-кода, что усиливает ощущение подлинности. Собранные данные, включая CVV, номера карт, MPIN и одноразовые коды, отправляются в облачную базу Firebase. Оттуда злоумышленники получают доступ к конфиденциальной информации и могут управлять заражёнными устройствами.<br/>
<br/>
Анализ также показал, что вредонос способен выполнять удалённые команды через push-уведомления, автоматически включать переадресацию звонков, выполнять USSD-запросы и использовать разрешения системы для сбора метаданных. Использование Firebase делает командно-контрольную инфраструктуру незаметной, так как сервис предоставляется бесплатно и не требует аутентификации по умолчанию.<br/>
<br/>
Распространение таких приложений осуществляется через множество каналов. Среди них — фальшивые сайты банков, SEO-манипуляции, заражённые сторонние магазины приложений, вредоносные QR-коды и NFC-метки. Иногда такие приложения маскируются под системные утилиты, например, обновления Play Protect или менеджеры батареи. В некоторых случаях вредонос может быть предустановлен на дешёвых устройствах или распространяться через USB при физическом доступе к телефону.<br/>
<br/>
Специалисты CYFIRMA призывают пользователей отключить возможность установки приложений из неизвестных источников и не переходить по подозрительным ссылкам в SMS и мессенджерах. Они также рекомендуют использовать решения класса EDR для мобильных устройств, которые способны отслеживать поведение приложений в реальном времени. Для банков и телеком-компаний предлагается интеграция с системами угрозоориентированной фильтрации трафика и активный мониторинг злоупотреблений облачными платформами.<br/>
<br/>
По мнению экспертов, эта кампания демонстрирует высокий уровень подготовки атакующих и уязвимость экосистемы Android в условиях отсутствия централизованного контроля. Малейшая неосторожность со стороны пользователя может привести к полной компрометации его финансовых данных.<br/>
<br/>
<a href="https://www.securitylab.ru/news/561769.php" target="_blank">@ SecurityLab </a>
</div>


All times are GMT. The time now is 03:07 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.