Thread: Вредоносное ПО маскируется под приложения госуслуг для атак на азиатов
View Single Post
  #1  
Old 05-04-2025, 06:30 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Фишинг и социальная инженерия – залог успеха кампании.

Злоумышленники распространяют новую вредоносную программу для Android под названием Gigabud, выдавая себя за государственные учреждения, финансовые компании и другие организации из Таиланда, Перу и Филиппин.
Киберпреступники обманом заставляют жертв загружать вредоносные приложения, имитирующие правительственные приложения, программы для покупок и для банковских кредитов. Исследователи Cyble обнаружили , что как только пользователь устанавливает вредоносное приложение, оно отображает поддельный экран входа в систему, который предлагает ввести свой номер мобильного телефона и пароль.
Метод работы
  • Gigabud использует процесс проверки на стороне сервера, чтобы убедиться, что введённый номер телефона является актуальным;

  • С экрана входа в систему вредоносное ПО отправляет жертве поддельный кредитный договор и уведомляет ее о необходимости подтверждения информации;

  • Gigabud не проявляет никакой вредоносной активности до финальной стадии, а затем запрашивает у жертвы разрешения на доступ к специальным возможностям, включая разрешение на запись экрана и отображение поверх других приложений;

  • Впоследствии Gigabud злоупотребляет службами специальных возможностей, чтобы собирать банковские учетные данные;

Злоумышленники использовали фишинговый сайт, имитирующий сайт Департамента специальных расследований (DSI) Таиланда, на котором распространяли Gigabud (DSI[.]apk), после чего DSI выпустило предупреждение в июле 2022 года. Кроме того, Gigabud также выдавал себя за Минфин Тайланда, Студенческий кредитный фонд, различные банки Тайланда и другие учреждения. Позже хакеры начали распространять вредоносное ПО в Перу и на Филиппинах.
Операторы Gigabud активно работают над распространением своего вредоносного ПО в новые географические регионы. Они приняли новую тактику, процесс проверки на стороне сервера, чтобы избежать обнаружения и поддерживать кампанию в течение длительного периода времени. Эксперты подозревают, что в ближайшем будущем операторы вредоносного ПО продолжат расширять свои цели и возможности за счет новых вариантов и функций.