Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
25.01.2023

Вредоносное ПО маскируется под приложения госуслуг для атак на азиатов

Злоумышленники распространяют новую вредоносную программу для Android под названием Gigabud, выдавая себя за государственные учреждения, финансовые компании и другие организации из Таиланда, Перу и Филиппин.

Киберпреступники обманом заставляют жертв загружать вредоносные приложения, имитирующие правительственные приложения, программы для покупок и для банковских кредитов. Исследователи Cyble обнаружили , что как только пользователь устанавливает вредоносное приложение, оно отображает поддельный экран входа в систему, который предлагает ввести свой номер мобильного телефона и пароль.

Метод работы

  • Gigabud использует процесс проверки на стороне сервера, чтобы убедиться, что введённый номер телефона является актуальным;
  • С экрана входа в систему вредоносное ПО отправляет жертве поддельный кредитный договор и уведомляет ее о необходимости подтверждения информации;
  • Gigabud не проявляет никакой вредоносной активности до финальной стадии, а затем запрашивает у жертвы разрешения на доступ к специальным возможностям, включая разрешение на запись экрана и отображение поверх других приложений;
  • Впоследствии Gigabud злоупотребляет службами специальных возможностей, чтобы собирать банковские учетные данные;

Злоумышленники использовали фишинговый сайт, имитирующий сайт Департамента специальных расследований (DSI) Таиланда, на котором распространяли Gigabud (DSI[.]apk), после чего DSI выпустило предупреждение в июле 2022 года. Кроме того, Gigabud также выдавал себя за Минфин Тайланда, Студенческий кредитный фонд, различные банки Тайланда и другие учреждения. Позже хакеры начали распространять вредоносное ПО в Перу и на Филиппинах.

Операторы Gigabud активно работают над распространением своего вредоносного ПО в новые географические регионы. Они приняли новую тактику, процесс проверки на стороне сервера, чтобы избежать обнаружения и поддерживать кампанию в течение длительного периода времени. Эксперты подозревают, что в ближайшем будущем операторы вредоносного ПО продолжат расширять свои цели и возможности за счет новых вариантов и функций.