Новый троян для Android маскируется под приложение Clubhouse

ESET сообщает об обнаружении трояна для Android, который может похищать данные для входа в различные онлайн-сервисы. В частности вредоносное программное обеспечение распространяется под видом еще несуществующей Android-версии популярной программы для аудиочатов Clubhouse, вход в которую доступен только по приглашениям.

ESET Android троян

Эта угроза под названием BlackRock может похищать данные для входа в около 458 онлайн-сервисов. Троян для Android нацеливается на известные финансовые программы, приложения для шопинга, криптовалютные биржи, а также социальные сети и платформы для обмена сообщениями. Среди таких программ оказались Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA и Lloyds Bank.

«Сайт трудно отличить от настоящего, поскольку он выглядит как качественная копия легитимного сайта Clubhouse. Как только пользователь нажимает «Скачать с Google Play», приложение автоматически загружается на устройство пользователя. Стоит отметить, что легитимные веб-сайты всегда перенаправляют пользователя в Google Play, а не предлагают сразу скачать программу », – комментирует Лукаш Стефанко, исследователь компании ESET.

Еще до момента нажатия кнопки можно заметить признаки вредоносной активности, в частности опасное соединение HTTP вместо HTTPS и наличие домена «.mobi», а не «.com», который обычно используется легитимной программой. Также стоит помнить, что, хотя Clubhouse действительно планирует вскоре запустить версию своего приложения для Android, пока платформа остается доступной только для пользователей iPhone!

Рис.1. URL-адреса мошеннического (слева) и легитимного (справа) сайта.

После загрузки BlackRock пытается похитить учетные данные жертвы, используя атаку с наложением вредных окон. Таким образом каждый раз при запуске приложения угроза отображает окно для входа в систему, идентичное настоящий программе. Но вместо входа в систему пользователь передает свои учетные данные киберпреступникам.

В этом случае двухфакторная аутентификация с использованием SMS-сообщений не защитит от несанкционированного доступа, поскольку троян для Android также может перехватывать текстовые сообщения. Вредоносное приложение также просит жертву предоставить определенный доступ, таким образом позволяя злоумышленникам получить контроль над устройством.

Кроме этого, имя загруженной программы «Install» вместо «Clubhouse» имеет сразу вызвать подозрение. «Авторы вредоносных программ не приложили необходимых усилий для маскировки приложения. Однако впоследствии могут появиться киберпреступники с более изощренными методами обмана пользователей », – предупреждает Лукаш Стефанко.

Рис. 2. Загрузка вредного приложения.

Для минимизации рисков инфицирования угрозами, подобными трояну для Android, специалисты ESET настоятельно рекомендуют пользователям соблюдать следующие правила интернет-безопасности:

  • Загружайте приложения на мобильное устройство только из официальных магазинов.
  • Контролируйте разрешения, которые предоставляете приложениям.
  • Своевременно обновляйте операционную систему и программы до актуальной версии или настройте автоматические обновления.
  • Используйте программные или аппаратные генераторы одноразовых паролей (OTP) вместо SMS.
  • Перед загрузкой программы поищите информацию о ее разработчика, просмотрите рейтинги и отзывы пользователей.
  • Используйте надежное решение для защиты мобильных устройств Android.
Читайте обзоры:

-->