ESET Research предупреждает клиентов малайзийских банков о трех вредоносных приложениях для Android, нацеленных на их деньги

БРАТИСЛАВА, КОШИЦЕ — 6 апреля 2022 года — Исследователи ESET проанализировали три вредоносных приложения Android, нацеленных на клиентов восьми малазийских банков. Чтобы получить прибыль от клиентов, которые все чаще обращаются к онлайн-покупкам во время пандемии, киберпреступники обманывают этих нетерпеливых покупателей в загрузке вредоносных приложений. В рамках продолжающейся кампании злоумышленники пытаются украсть банковские учетные данные, используя поддельные веб-сайты, которые представляют собой законные услуги, иногда прямо копируя оригинал. Эти веб-сайты используют доменные имена, похожие на сервисы, которые они олицетворяют. 

-Исследователи ESET проанализировали три вредоносных приложения для Android, нацеленных на клиентов восьми малазийских банков.

-В этой продолжающейся кампании (начатой в конце 2021 года) злоумышленники создали поддельные, но законно выглядящие веб-сайты. Веб-сайты привлекают покупателей к загрузке вредоносных приложений.

-Злоумышленники используют эти поддельные приложения для интернет-магазинов для фишинга банковских учетных данных. Приложения также пересылают все SMS-сообщения, полученные жертвой, операторам вредоносных программ, если они содержат коды 2FA, отправленные банком.

-В настоящее время кампания нацелена исключительно на Малайзию, но позже она может распространиться на другие страны и банки. Кроме того, злоумышленники могут также позволить кражу информации о кредитных картах в вредоносных приложениях в будущем.

“Чтобы сделать и без того удобный подход к онлайн-покупкам еще более удобным, люди все чаще используют свои смартфоны для покупок. Покупки смартфонов составляют большинство заказов на онлайн – покупки-большинство из них из приложений для конкретных поставщиков”, - говорит исследователь ESET Лукаш Штефанко, который проанализировал вредоносные приложения.

Об этой кампании впервые сообщалось в конце 2021 года, когда злоумышленники выдавали себя за законную службу очистки Maid4u. Кампания, распространяемая через рекламу в Facebook, соблазнила потенциальных жертв загрузить вредоносное ПО Android с вредоносного веб-сайта. В январе 2022 года MalwareHunterTeam выявила еще три вредоносных веб-сайта и трояны Android, связанные с этой кампанией. Недавно исследователи ESET обнаружили еще четыре поддельных веб-сайта. Все семь веб-сайтов выдавали себя за сервисы, доступные только в Малайзии.

Сайты-подражатели не предоставляют возможности совершать покупки непосредственно через них. Вместо этого они включают кнопки, которые утверждают, что загружают приложения из Google Play. Однако нажатие этих кнопок фактически не приводит к магазину Google Play, а к серверам, находящимся под контролем злоумышленников. Для успеха этой атаки предполагаемые жертвы должны включить опцию “Установить неизвестные приложения” на своих устройствах. Когда приходит время оплатить заказ, жертвам предлагаются варианты оплаты – они могут оплатить либо кредитной картой, либо переводом необходимой суммы со своих банковских счетов. В то время, когда это исследование было активным, невозможно было выбрать вариант оплаты кредитной картой.

После выбора варианта прямого перевода жертвам предоставляется поддельная платежная страница FPX, и их просят выбрать свой банк из восьми предоставленных малазийских банков, а затем ввести свои учетные данные. Целевыми банками являются Maybank, Affin Bank, Public Bank Berhad, CIMB bank, BSN, RHB, Bank Islam Malaysia и Hong Leong Bank. После того, как жертвы отправляют свои банковские учетные данные, они получают сообщение об ошибке, информирующее их о том, что идентификатор пользователя или пароль, которые они предоставили, были недействительными. На данный момент введенные учетные данные были отправлены операторам вредоносных программ. Чтобы убедиться, что злоумышленники могут попасть на банковские счета своих жертв, поддельные приложения для интернет-магазинов также пересылают все SMS-сообщения, полученные жертвой, операторам, если они содержат коды двухфакторной аутентификации (2FA), отправленные банком.

“Хотя кампания нацелена исключительно на Малайзию, позже она может распространиться на другие страны и банки. В настоящее время злоумышленники ищут банковские учетные данные, но в будущем они также могут позволить кражу информации о кредитных картах”, - добавляет Штефанко.

ESET Research обнаружила один и тот же вредоносный код во всех трех проанализированных приложениях, что привело нас к выводу, что все они могут быть отнесены к одной и той же угрозе actor.

To защитите себя от такого рода угроз, во-первых, постарайтесь убедиться, что вы используете законные веб-сайты для совершения покупок:

-Проверьте, безопасен ли веб-сайт, т. Е. Его URL начинается с . Некоторые браузеры могут даже отказаться открывать веб-сайты без HTTPS и явно предупреждать пользователей или предоставлять возможность включить режим только HTTPS.

-Будьте осторожны, нажимая на рекламу и платные результаты поиска

-Обратите внимание на источник загружаемых приложений. Убедитесь, что вы действительно перенаправлены в магазин Google Play.

-Используйте программное или аппаратное обеспечение 2FA вместо SMS, когда это возможно, и используйте мобильные решения безопасности.

Материал подготовлен  Eset NOD32