Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении трояна для Android, который может похищать данные для входа в разные онлайн-сервисы. В частности, вредоносное программное обеспечение распространяется под видом еще несуществующей Android-версии популярной программы для аудиочатов Clubhouse, вход в которую доступен только по приглашениям.
Эта угроза под названием BlackRock может похищать данные для входа в около 458 онлайн-сервисов. Троян для Android нацеливается на известные финансовые программы, приложения для шопинга, криптовалютные биржи, а также социальные сети и платформы для обмена сообщениями. Среди таких программ оказались Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA и Lloyds Bank.
«Сайт трудно отличить от настоящего, поскольку он выглядит как качественная копия легитимного сайта Clubhouse. Как только пользователь нажимает «Загрузить с Google Play», приложение автоматически загружается на устройство пользователя. Стоит отметить, чтолегитимные веб-сайты всегда перенаправляют пользователя в Google Play, а не предлагают сразу загрузитьпрограмму», — комментирует Лукаш Стефанко, исследователь компании ESET.
Еще до момента нажатия кнопки можно заметить признаки вредоносной активности, в частности, опасное соединение HTTP вместо HTTPS и наличие домена «.mobi», а не «.com», который, как правило, используется легитимной программой (рис. 1). Также стоит помнить, что, хотя Clubhouse действительно планирует вскоре запустить версию своего приложения для Android, пока платформа остается доступной только для пользователей iPhone!
Рис.1. URL-адреса мошеннического (слева) и легитимного (справа) сайта.
После загрузки BlackRock пытается похитить учетные данные жертвы, используя атаку с наложением вредоносных окон. Таким образом каждый раз при запуске приложения угроза отображает окно для входа в систему, идентичное настоящей программе. Но вместо входа в систему пользователь передает свои учетные данные киберпреступникам.
В этом случае двухфакторная аутентификация с использованием SMS-сообщений не защитит от несанкционированного доступа, поскольку троян для Android также может перехватывать текстовые сообщения. Вредоносное приложение также просит жертву предоставить определенный доступ, таким образом позволяя злоумышленникам получить контроль над устройством.
Кроме этого, имя загруженной программы «Install» вместо «Clubhouse» должно сразу вызвать подозрение. «Авторы вредоносных программ не приложили необходимых усилий для маскировки приложения. Однако позже могут появиться киберпреступники с более изощренными методами обмана пользователей», — предупреждает Лукаш Стефанко.
Рис. 2. Загрузка вредоносного приложения.
Для минимизации рисков заражения угрозами, подобными к трояну для Android, специалисты ESET настоятельно рекомендуют пользователям соблюдать следующие правила Интернет-безопасности:
- Загружайте приложения на мобильное устройство только из официальных магазинов.
- Контролируйте разрешения, которые предоставляете приложениям.
- Своевременно обновляйте операционную систему и программы до актуальной версии или настройте автоматические обновления.
- Используйте программные или аппаратные генераторы одноразовых паролей (OTP) вместо SMS.
- Перед загрузкой программы поищите информацию о ее разработчике, а также посмотрите рейтинги и отзывы пользователей.
- Используйте надежное решение для защиты мобильных устройств Android.
Больше советов по защите мобильных устройств от киберугроз читайте по ссылке.
Читайте также:
Распространенные приемы SMS-фишинга: как не попасть на крючок мошенников
Скрытое прослушивание телефона социальными сетями: реальный сценарий или вымысел