ВТФ? «Матерящийся троянец» наносит ущерб китайским Android-устройствам

В Китае происходит довольно сложная кампания кибератак. Как сообщает журнал Infosecurity Magazine, виновником является «ругающийся троянец», названный так из-за различных ругательств, обнаруженных в исходном коде. Сам троянец был идентифицирован специалистами по безопасности китайского холдинга Tencent, но с момента его обнаружения его анализировали и другие компании.

Наиболее известной из них является компания Checkpoint, занимающаяся программными технологиями. В своем блоге исследователь безопасности Фэйсян Хе подробно рассказал о различных точках заражения трояна-ругательства, а также о том, как он работает и какую информацию ищет. Цель вредоносного ПО довольно распространена. Swearing Trojan ищет банковскую информацию своих жертв и любые другие конфиденциальные данные, которые могут быть использованы для получения финансовой выгоды.

После заражения троянец может обойти двухфакторную аутентификацию, «заменив исходное Android-приложение для SMS своей измененной версией», впоследствии перехватывая любые фактические SMS-данные, которые может отправить банк. Кроме того, Swearing Trojan может быть довольно скрытным, поскольку он указывает, что он «не связывается с удаленными серверами C&C», вместо этого отправляя «данные обратно злоумышленнику с помощью SMS или электронной почты». Таким образом, зараженный пользователь с меньшей вероятностью заподозрит, что его устройство заражено.

Существует два основных способа проникновения Swearing Trojan на устройства Android пользователей. Во-первых, это зараженные приложения, которые сразу же начинают развертывать вредоносную полезную нагрузку после того, как пользователь завершит установку. Второй способ довольно сложный и увлекательный. Как поясняет Фейсян Хэ в своем отчете, «злоумышленники используют поддельные базовые приемопередающие станции (BTS), которые рассылают фишинговые SMS-сообщения, маскируясь под сообщения, исходящие от китайских операторов связи China Mobile и China Unicom». Это, в свою очередь, приводит к тому, что пользователи нажимают на вредоносные URL-адреса, которые приводят к загрузке полезной нагрузки Swearing Trojan.

Пока троянец все еще в дикой природе, есть и хорошие новости. Выяснилось, что хакеры, развернувшие Swearing Trojan, были не такими скрытными, как их вредоносное ПО, поскольку были арестованы после крупной полицейской операции. Однако неизвестно, были ли эти хакеры частью еще более крупного коллектива, распространяющего трояна дальше. Лучшая защита, которую рекомендует Фейсян Хе, помимо здравого смысла, — это внедрение передового программного обеспечения для обнаружения угроз.

Сообщения о мутациях кода ругающегося троянца, появляющихся в новых атаках вредоносного ПО, поступают и по сей день, поэтому для отражения этой растущей угрозы необходимо проявлять должную осмотрительность. Вскоре это китайское вредоносное ПО станет международной проблемой.