Киберпреступники развернули в Азии масштабные и технологически сложные кампании, нацеленные на пользователей мобильных устройств на базе Android и iOS. С помощью поддельных приложений, распространяемых через неофициальные каналы, злоумышленники крадут личные данные, ведут слежку, совершают финансовое мошенничество и занимаются шантажом. Ландшафт киберпреступности трансформируется с появлением модели «Вредоносное ПО как услуга» (MaaS), которая снижает порог входа для преступников, позволяя им арендовать инструменты и покупать доступ к уже зараженным устройствам.
Исследовательская группа Zimperium zLabs под руководством Раджата Гояла выявила крупную кроссплатформенную кампанию мобильного вредоносного ПО под кодовым названием SarangTrap. Основной целью атаки являются пользователи в Южной Корее. Кампания использует более 250 вредоносных Android-приложений и свыше 80 доменов, маскируясь под приложения для знакомств и социальные сети. Для обмана жертв создаются фиктивные страницы, имитирующие официальные магазины приложений.
Методы атаки SarangTrap различаются в зависимости от платформы. В версии для Android вредоносная активность активируется только после ввода «кода приглашения», который проверяется на командно-контрольном сервере (C2), что позволяет избегать обнаружения антивирусами. После активации программа запрашивает доступ к SMS, спискам контактов и файлам. На устройствах iOS пользователей убеждают установить мошеннический мобильный конфигурационный профиль, который предоставляет доступ к контактам и фотографиям. Полученные данные, включая личные видео, используются для шантажа с угрозами отправки материалов членам семьи жертвы. Кампания находится в стадии активной разработки.
Другая масштабная операция, выявленная компанией BforeAI, использует 607 доменов на китайском языке для распространения поддельных версий приложения Telegram. Распространение происходит через QR-коды, размещенные на веб-сайтах. Вредоносное ПО предоставляет злоумышленникам полный контроль над устройством, включая кражу данных, слежку и удаленное выполнение команд. Технически атака использует MediaPlayer API для управления и подписанный по схеме v1 APK, который эксплуатирует уязвимость Janus (затрагивает Android версий 5.0–8.0), позволяя внедрять вредоносный код в легитимно подписанное приложение незаметно.
Специалисты McAfee Labs зафиксировали культурно-ориентированные атаки, направленные на клиентов индийских банков и носителей бенгальского языка, в частности выходцев из Бангладеш, проживающих в Саудовской Аравии, Малайзии и ОАЭ. Как сообщил исследователь Декстер Шин, распространение вредоносных программ происходит через фишинговые сайты и страницы в Ф⃰. Приложения имитируют финансовые сервисы, собирая личные данные, информацию о дебетовых картах и SIM-картах через поддельные интерфейсы создания счетов и транзакций, при этом реальные финансовые операции не проводятся. Вредоносное ПО, нацеленное на Индию, использует Firebase для командно-контрольных операций и обладает функциями переадресации и удаленного совершения вызовов.
Во Вьетнаме обнаружен новый сложный банковский троян для Android под названием RedHook. По данным компании Cyble, он распространяется через фишинговые сайты, имитирующие официальные финансовые и правительственные учреждения. Предполагается, что разработчиком является китаеязычный злоумышленник, на что указывают строки на китайском языке в коде программы. RedHook сочетает функции кейлоггера и трояна удаленного доступа (RAT), взаимодействуя со своим C2-сервером через WebSocket и поддерживая более 30 удаленных команд для полного контроля над устройством.
Технические возможности RedHook включают злоупотребление службами доступности Android для проведения оверлейных атак и использование MediaProjection API для захвата содержимого экрана. Доказательства деятельности группы были найдены в открытом S3-бакете на AWS, где хранились скриншоты, шаблоны и документы, детализирующие поведение вредоноса. Загрузки файлов в этот бакет датируются 27 ноября 2024 года.
Эксперты Trustwave SpiderLabs выявили еще одну кампанию, целью которой является монетизация через рекламное мошенничество и перенаправление трафика. Вредоносное ПО, маскирующееся под приложения популярных брендов, имеет модульную структуру и способно проверять, не запущено ли оно в виртуализированной среде или песочнице. Для обхода проверки подписи Android и внедрения вторичной полезной нагрузки (origin.apk) используется инструмент с открытым исходным кодом ApkSignatureKillerEx. Хотя кампания не атрибутирована конкретной группе, тактика указывает на возможную связь с китаеязычными преступными группировками.
Распространение таких атак стало возможным благодаря развитию экосистемы «Вредоносное ПО как услуга» (MaaS). По словам исследователя Дэниела Келли из iVerify, преступники могут арендовать готовые вредоносные комплекты, такие как PhantomOS и Nebula, по ежемесячной подписке. Эти комплекты включают функции перехвата двухфакторной аутентификации, обхода антивирусов, скрытой установки приложений, GPS-трекинга и фишинговых оверлеев под конкретные бренды, а техническая поддержка осуществляется через Telegram.
На теневом рынке также продаются специализированные инструменты. Крипторы и эксплойт-киты помогают вредоносному ПО избегать обнаружения. Например, сканер Android ADB, который ищет открытые порты Android Debug Bridge для тайной установки вредоносных APK, продается по цене от 600 до 750 долларов.
Существуют и подпольные рынки, такие как Valhalla, где преступники могут массово купить доступ к устройствам, уже зараженным троянами ERMAC, Hook, Hydra и Octo. Это полностью избавляет злоумышленников от необходимости самостоятельно разрабатывать и распространять вредоносное ПО, значительно снижая барьер для входа в киберпреступную деятельность.
Изображение носит иллюстративный характер
Исследовательская группа Zimperium zLabs под руководством Раджата Гояла выявила крупную кроссплатформенную кампанию мобильного вредоносного ПО под кодовым названием SarangTrap. Основной целью атаки являются пользователи в Южной Корее. Кампания использует более 250 вредоносных Android-приложений и свыше 80 доменов, маскируясь под приложения для знакомств и социальные сети. Для обмана жертв создаются фиктивные страницы, имитирующие официальные магазины приложений.
Методы атаки SarangTrap различаются в зависимости от платформы. В версии для Android вредоносная активность активируется только после ввода «кода приглашения», который проверяется на командно-контрольном сервере (C2), что позволяет избегать обнаружения антивирусами. После активации программа запрашивает доступ к SMS, спискам контактов и файлам. На устройствах iOS пользователей убеждают установить мошеннический мобильный конфигурационный профиль, который предоставляет доступ к контактам и фотографиям. Полученные данные, включая личные видео, используются для шантажа с угрозами отправки материалов членам семьи жертвы. Кампания находится в стадии активной разработки.
Другая масштабная операция, выявленная компанией BforeAI, использует 607 доменов на китайском языке для распространения поддельных версий приложения Telegram. Распространение происходит через QR-коды, размещенные на веб-сайтах. Вредоносное ПО предоставляет злоумышленникам полный контроль над устройством, включая кражу данных, слежку и удаленное выполнение команд. Технически атака использует MediaPlayer API для управления и подписанный по схеме v1 APK, который эксплуатирует уязвимость Janus (затрагивает Android версий 5.0–8.0), позволяя внедрять вредоносный код в легитимно подписанное приложение незаметно.
Специалисты McAfee Labs зафиксировали культурно-ориентированные атаки, направленные на клиентов индийских банков и носителей бенгальского языка, в частности выходцев из Бангладеш, проживающих в Саудовской Аравии, Малайзии и ОАЭ. Как сообщил исследователь Декстер Шин, распространение вредоносных программ происходит через фишинговые сайты и страницы в Ф⃰. Приложения имитируют финансовые сервисы, собирая личные данные, информацию о дебетовых картах и SIM-картах через поддельные интерфейсы создания счетов и транзакций, при этом реальные финансовые операции не проводятся. Вредоносное ПО, нацеленное на Индию, использует Firebase для командно-контрольных операций и обладает функциями переадресации и удаленного совершения вызовов.
Во Вьетнаме обнаружен новый сложный банковский троян для Android под названием RedHook. По данным компании Cyble, он распространяется через фишинговые сайты, имитирующие официальные финансовые и правительственные учреждения. Предполагается, что разработчиком является китаеязычный злоумышленник, на что указывают строки на китайском языке в коде программы. RedHook сочетает функции кейлоггера и трояна удаленного доступа (RAT), взаимодействуя со своим C2-сервером через WebSocket и поддерживая более 30 удаленных команд для полного контроля над устройством.
Технические возможности RedHook включают злоупотребление службами доступности Android для проведения оверлейных атак и использование MediaProjection API для захвата содержимого экрана. Доказательства деятельности группы были найдены в открытом S3-бакете на AWS, где хранились скриншоты, шаблоны и документы, детализирующие поведение вредоноса. Загрузки файлов в этот бакет датируются 27 ноября 2024 года.
Эксперты Trustwave SpiderLabs выявили еще одну кампанию, целью которой является монетизация через рекламное мошенничество и перенаправление трафика. Вредоносное ПО, маскирующееся под приложения популярных брендов, имеет модульную структуру и способно проверять, не запущено ли оно в виртуализированной среде или песочнице. Для обхода проверки подписи Android и внедрения вторичной полезной нагрузки (origin.apk) используется инструмент с открытым исходным кодом ApkSignatureKillerEx. Хотя кампания не атрибутирована конкретной группе, тактика указывает на возможную связь с китаеязычными преступными группировками.
Распространение таких атак стало возможным благодаря развитию экосистемы «Вредоносное ПО как услуга» (MaaS). По словам исследователя Дэниела Келли из iVerify, преступники могут арендовать готовые вредоносные комплекты, такие как PhantomOS и Nebula, по ежемесячной подписке. Эти комплекты включают функции перехвата двухфакторной аутентификации, обхода антивирусов, скрытой установки приложений, GPS-трекинга и фишинговых оверлеев под конкретные бренды, а техническая поддержка осуществляется через Telegram.
На теневом рынке также продаются специализированные инструменты. Крипторы и эксплойт-киты помогают вредоносному ПО избегать обнаружения. Например, сканер Android ADB, который ищет открытые порты Android Debug Bridge для тайной установки вредоносных APK, продается по цене от 600 до 750 долларов.
Существуют и подпольные рынки, такие как Valhalla, где преступники могут массово купить доступ к устройствам, уже зараженным троянами ERMAC, Hook, Hydra и Octo. Это полностью избавляет злоумышленников от необходимости самостоятельно разрабатывать и распространять вредоносное ПО, значительно снижая барьер для входа в киберпреступную деятельность.
