Срочно удалите это приложение: оно вас подслушивает и ворует файлы
Специалисты по кибербезопасности указали на необычный пример поведения вредоносного приложения. Программа iRecorder Screen Recorder появилась в Google Play осенью 2021 года, и долгое время к ней не было претензий. У программы были десятки тысяч скачиваний, высокие оценки и положительные отзывы. Но потом все изменилось.
Изначально iRecorder Screen Recorder предназначено для записи дисплея смартфона. Спустя год после релиза для приложения вышло обновление, которое превратило обычную программу во вредоносную. Каждые 15 минут iRecorder Screen Recorder тайно включает микрофон, в течение минуты делает запись и потом отсылает ее на серверы злоумышленников. Кроме того, приложение может отправлять хакерам другие файлы со смартфона.
Недавно в Google выявили «неэтичное поведение» iRecorder Screen Recorder и удалили программу из Google Play, как и остальные разработки компании Coffeeholic Dev. Однако удаление из Google Play не означает, что десятки тысяч уже скачанных iRecorder Screen Recorder исчезнут из пользовательских смартфонов — они по-прежнему под угрозой.
Мошенники воруют деньги с помощью ПО для удаленного администрирования
Рекомендуем почитать:
Xakep #292. Flipper Zero
- Содержание выпуска
- Подписка на «Хакер» -60%
Специалисты «Доктор Веб» предупредили, что участились случаи мошенничества с применением программ для удаленного доступа к рабочему столу. Наибольшей популярностью у злоумышленников пользуется программа RustDesk.
Аналитики связывают возросшую активность мошенников с недавними утечками фрагментов БД целого ряда банков, после чего у злоумышленников появился доступ к персональным данным пользователей.
Эту информацию злоумышленники используют, чтобы войти в доверие к своим жертвам. Представляясь сотрудниками поддержки банков, преступники сообщают о том, что на счете жертвы якобы замечена подозрительная активность, которая может привести к потере денег. Чтобы воспрепятствовать краже, якобы нужно установить на устройство «защитную» программу. Для этого предлагается перейти в магазин приложений и набрать в поисковой строке запросы типа «поддержка Сбербанка», «поддержка ВТБ» и так далее.
До недавнего времени в топе выдачи по таким поисковым фразам в Google Play находились программы типа AweSun Remote Desktop, RustDesk Remote Desktop, «Удаленный рабочий стол AnyDesk». Исследователи объясняют, что система ранжирования приложений в Google Play учитывает то, какое приложение выбирают пользователи, вводя тот или иной поисковый запрос. И чем больше людей, ищущих приложение по ключевым словам «поддержка имя_банка», совершит ошибку и перейдет по ссылке на приложение для удаленного администрирования, тем чаще Google Play будет рекомендовать такую программу пользователям.
При этом сами по себе программы для удаленного управления не являются вредоносными. Проблемы возникают, когда их применяют для совершения противоправных действий.
После установки приложения мошенники просят жертву сообщить им уникальный идентификатор, а затем берут устройство под свой полный контроль. Доступ к устройству позволяет им совершать платежи и переводы со счета жертвы. При этом доказательство взлома и отзыв платежного поручения в такой ситуации невозможны, так как с точки зрения банка с системой платежей взаимодействует именно устройство клиента.
В настоящий момент компания Google сняла приложение RustDesk с публикации в магазине Google Play. В итоге злоумышленники перевели свою деятельность за пределы площадки — теперь для реализации мошенническое схемы с удаленным управлением они используют сайты (например, hххps://помощникбанков[.]рф).
На таких сайтах потенциальным жертвам предлагается скачать уже знакомое приложение RustDesk. Кроме того, в некоторых случаях в скачиваемых приложениях заменены названия и иконка, для большей убедительности они соответствуют тому или иному банку.
«Доктор Веб» идентифицирует приложение RustDesk как Tool.RustDesk.1.origin, а модифицированные приложения определяются как Android.FakeApp.1426.
Эксперты напоминают, что пользователям стоит проявлять бдительность, отвечая на звонки от банков и других организаций, никогда не устанавливать на свои устройства приложения по чьей-то просьбе и не сообщать никому коды из SMS и push-уведомлений.
Мобильные воришки: какие приложения воруют деньги с телефона
Смартфоны становятся все мощнее и все более похожими на компьютеры по характеристикам. В них хранится ценная информация о владельце, включая данные о банковских картах, чем и могут воспользоваться киберпреступники.
Приложения-трояны
Этот вредоносный софт способен совершать действия без ведома владельца данных. Таким образом злоумышленники получают доступ к конфиденциальной информации и совершают несанкционированные операции. В каком-то смысле это те же компьютерные вирусы, но только они не умеют воссоздавать себя и производить бесконтрольные действия.
Работа троянов происходит как в серверной части, так и в клиентской. Клиентская используется для доступа и настройки конфигураций, а серверная служит для распространения. Серверную часть и запускают на своих компьютерах потенциальные жертвы. На что способны трояны:
- подменивать данные;
- удалять информацию;
- копировать информацию;
- блокировать сведения.
Разделяют несколько видов троянских программ, в зависимости от совершаемых ими действий. Вот 2 основных типа:
- BackDoor (черный ход) — опасны тем, что предоставляют его владельцу весь доступ к данным жертвы. Запустив файл с трояном, вы включаете его в автозагрузку и предоставляете удаленное управление хозяину вредоносного приложения. Теперь хакер может совершить любые действия на вашем ПК.
- MailSender – стоит запустить его всего один раз, и он будет постоянно собирать все используемые пароли. Некоторые могут перехватывать скрытые данные и сохранять их. Все собранные сведения передаются владельцу трояна. Этот вид хакерского приложения приводит к плачевным последствиям, потому как злоумышленник пользуется логинами и паролями в интернете и совершает выгодные ему действия по вашим именем.
Троянцы-банкеры
Запуск банковских троянцев — популярное киберпреступление, особенно в РФ, СНГ, Индии, Вьетнаме. Более всего уязвимы смартфоны на ОС Android. 95% вредоносных приложений для смартфонов занимает именно этот вид троянов. Метод работы у таких приложений следующий:
- Скрытие смс-оповещения с кодом и его отправка хозяину приложения.
- Далее в автоматическом режиме происходят действия, направленные на переводы небольших сумм на преступные счета.
- Либо троянский софт подменивает приложение банков на свое и предоставляет доступ из личных кабинетов жертвы злоумышленнику.
Trojan-Banker крадут денежные средства из систем онлайн-банкинга, интернет оплаты с помощью электронных карт или электронных платежей. В 2019 году хакеры запустили вирус для смартфонов на Android, который заходил в мобильный приложения и выводил деньги без ведома владельца телефона. Два крупнейших российских банка столкнулись с этой проблемой, хотя и без слишком серьезных последствий.
Фальшивые приложения
Разработчики вредоносного ПО создают приложения, маскирующиеся под оригинальные программы. Они встречаются даже на площадке Google Pay. Конечно же, магазин Android периодически подвергается чистке от подобных приложений.
Например, встречаются приложения для социальных сетей, обещающие просмотры публикаций и подписчиков. На самом деле они подписывают на платные ресурсы, показывают выгодную им рекламу. Опасны подменные приложения, мимикрирующие под банковские продукты и считывающие данные владельца банковских карт. Существует софт, заменяющий обменники криптовалют и ворующий информацию с карт при вводе данных, в том числе и пароли для двухфакторной аутетификации.
Дозвонщики
Это специальное программное обеспечение, с помощью которого киберпреступники разрывают текущее телефонное соединение и подключают к платным номерам. Чаще всего это звонки иностранным операторам, где стоимость связи оплачивается поминутно.
Дозвонщикам удается произвести данные манипуляции только с компьютерами, подключенными к интернету через модем. Доступ к сети через кабель, ADSL и другими способами их не интересует. Пострадавшим могут прийти счета за связь с высокой суммой, или же средства сразу спишутся с карты и попадут на преступные счета.
Уязвимые легальные приложения
Даже легитимные востребованные приложения могут таить в себе угрозу. Все дело в их уязвимости и доступности для хакеров. Так, в приложениях Walmart, SoundCloud, CNN были предоставлены неограниченные попытки для подбора паролей к учетной записи пользователя. Это дало возможность злоумышленникам получать конфиденциальные данные путем брутфорса.
В 2014 году облачный сервис ICloude был взломан именно по этой причине. Были похищены данные мировых звезд (Аврил Лавин, Ким Кардашьян, Дженифер Лоуренс и других). Интимные фотографии звезд были размещены в открытом доступе.
Эксперты по кибербезопасности заявили, что треть всех мобильных приложений находится в зоне риска и подвержена взломам. Полностью защитить смартфон от хакерских атак не представляется возможным. Единственный способ избежать неприятных последствий — ограничить пользование только надежным софтом, внимательно отслеживать запрашиваемые права доступа от приложений, своевременно обновлять установленные программы.
Причем это касается не только операционной системы Android, но и iOS. Исследователи обнаружили проблемы у банковских программ. Все уязвимости возникли из-за атак man-in-the-middle (MitM), связанных с привязкой сертификатов. Хакеры могли перехватывать SSL-соединения, а значит пин-коды, смс с паролем, логины и так далее.
Наблюдается бум на создание мобильных приложений и различных сервисов, но обилие софта не гарантирует защиту телефона от кибератак. На смартфоне среднестатистического пользователя установлено примерно 66 приложений, каждое из которых подвержено угрозе вторжения. Внимательность и осторожность помогут сохранить данные и не дать злоумышленникам получить от них выгоду.
При подготовке материала использовались источники:
https://tech.onliner.by/2023/05/26/srochno-udalite-eto-prilozhenie-ono-vas-podslushivaet-i-voruet-fajly
https://xakep.ru/2023/09/26/remote-access-scam/
https://vgrafike.ru/mobilnye-prilozheniya-kotorye-mogut-vorovat-vashi-dengi/