Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення трояна для Android, який може викрадати дані для входу у різні онлайн-сервіси. Зокрема шкідливе програмне забезпечення поширюється під виглядом ще неіснуючої Android-версії популярної програми для аудіочатів Clubhouse, вхід у яку доступний тільки за запрошеннями.
Ця загроза під назвою BlackRock може викрадати дані для входу у близько 458 онлайн-сервісів. Троян для Android націлюється на відомі фінансові програми, додатки для шопінгу, криптовалютні біржі, а також соціальні мережі та платформи для обміну повідомленнями. Серед таких програм опинилися Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA та Lloyds Bank.
«Сайт важко відрізнити від справжнього, оскільки він виглядає як якісна копія легітимного веб-сайту Clubhouse. Як тільки користувач натискає «Завантажити з Google Play», додаток автоматично завантажується на пристрій користувача. Варто зазначити, що легітимні веб-сайти завжди перенаправляють користувача в Google Play, а не пропонують одразу завантажити програму», — коментує Лукаш Стефанко, дослідник компанії ESET.
Ще до моменту натискання кнопки можна помітити ознаки шкідливої активності, зокрема небезпечне з'єднання HTTP замість HTTPS та наявність домену «.mobi», а не «.com», який зазвичай використовується легітимною програмою (Рис. 1). Також варто пам’ятати, що, хоча Clubhouse дійсно планує незабаром запустити версію свого додатка для Android, наразі платформа залишається доступною тільки для користувачів iPhone!
Рис.1. URL-адреси шахрайського (ліворуч) та легітимного (праворуч) веб-сайту.
Після завантаження BlackRock намагається викрасти облікові дані жертви, використовуючи атаку з накладенням шкідливих вікон. Таким чином кожного разу під час запуску додатка загроза відображає вікно для входу в систему, ідентичне справжній програмі. Але замість входу в систему користувач передає свої облікові дані кіберзлочинцям.
У цьому випадку двофакторна аутентифікація з використанням SMS-повідомлень не захистить від несанкціонованого доступу, оскільки троян для Android також може перехоплювати текстові повідомлення. Шкідливий додаток також просить жертву надати певний доступ, таким чином дозволяючи зловмисникам отримати контроль над пристроєм.
Крім цього, ім'я завантаженої програми «Install» замість «Clubhouse» має одразу викликати підозру. «Автори шкідливого програмного забезпечення не доклали необхідних зусиль для маскування додатка. Однак згодом можуть з'явитися кіберзлочинці з більш витонченими методами обману користувачів», — попереджає Лукаш Стефанко.
Рис. 2. Завантаження шкідливого додатка.
Для мінімізації ризиків інфікування загрозами, подібними до трояна для Android, спеціалісти ESET настійно рекомендують користувачам дотримуватись наступних правил Інтернет-безпеки:
- Завантажуйте програми на мобільний пристрій лише з офіційних магазинів.
- Контролюйте дозволи, які надаєте додаткам.
- Своєчасно оновлюйте операційну систему та програми до актуальної версії або налаштуйте автоматичні оновлення.
- Використовуйте програмні або апаратні генератори одноразових паролів (OTP) замість SMS.
- Перед завантаженням програми пошукайте інформацію про її розробника, а також перегляньте рейтинги та відгуки користувачів.
- Використовуйте надійне рішення для захисту мобільних пристроїв Android.
Більше порад щодо захисту мобільних пристроїв від кіберзагроз читайте за посиланням.
Читайте також:
Поширені прийоми SMS-фішингу: як не потрапити на гачок шахраїв
Приховане прослуховування телефона соціальними мережами: реальний сценарій чи видумка