Google Play | TimeNetAz

Эксперты McAfee обнаружили фишинговую кампанию, направленную против пользователей устройств на Android. Авторы малвари Android/TimpDoor (далее просто TimpDoor) не распространяют своего вредоноса через каталог Google Play, вместо этого они используют старые добрые текстовые сообщения, содержащие ссылки на вредоносные и поддельные приложения.

Исследователи пишут, что TimpDoor, к примеру, маскируется под несуществующее приложение Download Voice App. Если пользователь попадается на удочку злоумышленников и открывают полученную в SMS ссылку, он попадает на сайт, где ему пошагово объясняют, как скачать и установить приложение, разрешить в Android установку приложений из сторонних источников.

На первый взгляд после загрузки .APK и установки вредоносного приложения оно даже кажется настоящим, но вскоре становится очевидно, что полезная функциональность отсутствует и Download Voice App содержит разве что несколько фейковых аудиофайлов.

Стартовые экраны Download Voice AppОсновной интерфейс фальшивки

Однако понять, что перед ним фальшивка, пользователь обычно просто не успевает, что как приложение закрывается, а его иконка скрывается. После этого запускается фоновый сервис и на устройстве поднимается Socks-прокси, пропускающая через SSH-тоннель сторонний трафик без ведома пользователя.

«Теоретически это позволяет атакующим получить доступ к внутренним сетям и обойти такие защитные механизмы, как файрволы и сетевые мониторы», — объясняют исследователи. — Как только TimpDoor собирал информацию о зараженном устройстве, он инициирует защищенное SSH-соединение с управляющим сервером, чтобы получить назначенный сетевой порт, передав ID устройства. Впоследствии данный порт будет использован для удаленной переадресации портов, и скомпрометированное устройство будет действовать как локальный сервер Socks-прокси».

Судя по всему, пока целью создателей TimpDoor является получение скрытого доступа к корпоративным и домашним сетям, хотя малварь и зараженные ей девайсы также могут использоваться для рассылки фишинговых писем, кликфрода, DDoS-атак и так далее.

По данным специалистов McAfee, в настоящее время существует 26 вариаций TimpDoor, новейшая из которых датирована августом 2018 года. Вредонос уже заразил как минимум 5000 устройств, хотя аналитики полагают, что он пока находится в разработке.

Источник: Xakep.Ru

Специалист ESET обнаружил Viber, который устанавливается через поддельный Google Play и крадет информацию с мессенджера WhatsApp.
Специалисты компании заметили приложение для смартфонов под управлением Android. Его без труда можно установить на свой смартфон с поддельного магазина приложений Google Play.

На самом деле магазин является обычным сайтом, на котором разработчики постарались максимально точно отобразить Google Play.

В нем во вкладке «выбор редакции» находится приложение Viber, которое на самом деле является вирусом.

После установки такого Viber, приложение запрашивает разрешение на доступ к файлам на смартфоне и SD-карте.+

После получения требуемых прав, программа начинает красть все данные, полученные через программы WhatsApp и WeChat.

Также поддельный Viber записывает телефонные разговоры. На копии Google Play специалисты ESET еще обнаружили троян, который прячется под видом голосового помощника Алиса.

Источник: Astera.ru