fbpx
Июнь 1, 2020 9:00 | Alexandr Kim |

zoom для телефона

В последнее время Zoom находится в центре внимания как одно из быстро развивающихся приложений для проведения видеоконференций. И киберпреступникам не потребовалось много времени, чтобы клонировать его, распространить на сторонних рынках и ждать, пока жертвы его установят за пределами Google Play Store.

Анализируемый образец: 30a1a22dcf7fa0b62809f510a43829b1
Имя пакета: us.zoom.videomeetings
Обнаружение: Android.Trojan.Downloader.UJ
Метка приложения: Zoom

Этот фрагмент вредоносного ПО содержит компоненты, внедренные в перепакованное приложение Zoom, как показано на картинке ниже.

zoom android

Хотя пользовательский интерфейс идентичен исходному приложению, он обладает дополнительной «функциональностью», на которую пользователь не подписывался. Вредоносная программа пытается загрузить свою основную полезную нагрузку из инфраструктуры командования и управления по адресу tcp [:] // googleteamsupport [.] Ddns.net:4444.

При этом образец имеет то же имя пакета, что и исходное приложение Zoom. И разработчики предприняли меры, чтобы детали сертификата были как можно ближе к исходному приложению Zoom:

Агрессивные рекламные банды

Исследователи Bitdefender также обнаружили испорченный Zoom APK, специально предназначенный для китайских пользователей. После загрузки приложение запрашивает разрешения телефона, местоположения и фотографии при запуске.

Анализируемый образец: fb5243138a920129dd85bb0e1545c2be
Имя пакета: us.zoom.videomeetings
Обнаружение: Android.Adware.Downloader.BC
Метка приложения: Zoom
Цели: Китай

Когда жертва нажимает на значок приложения, приложение ничего не делает или кратко отображает объявление прежде, чем закрыться. Как только приложение открывается, нативная реклама загружается и отображается на экране всего секунду:

Когда приложение, наконец, запускается, жертва получает рекламу, как только она пытается присоединиться к собранию. Они будут получать эти объявления до тех пор, пока не нажмут кнопку X.

Больше вредоносного Zoom

Еще одно ВПО, которое пытается выдать себя за приложение Zoom и заманить жертв установить его.

Анализируемый образец: 9930b683d4b31a3398da0fb75c27d056
Имя пакета: app.z1_android_421120320_app_original_file
Обнаружение: Android.Trojan.HiddenAds.AJR
Метка приложения: ZOOM Cloud Meetings

При открытии приложение изначально прячется от меню. Затем оно запускает повторяющийся сигнал в рекламную службу, а потом сервис запускает AdActivity с объявлениями. Ссылку можно найти на ресурсах: adsforapp1 [.] com

Вредоносное приложение продолжает проверку на наличие другой жестко закодированной строки в ресурсах, называемой «admin». Если строка истинна, она запрашивает права администратора устройства. Если значение установлено в false (как в нашем случае), он пытается загрузить другой файл (запись apk).

При открытии приложение перенаправляет для загрузки дополнительного компонента:

Пример пакета функций для запроса разрешений администратора устройства на английском или русском языке в зависимости от языка мобильного телефона по умолчанию. Вредоносная программа также может запускаться при включении устройства.

Bitdefender Mobile Security для Android обнаруживает и блокирует эти приложения как Android.Trojan.Downloader.UJ, Android.Adware.Downloader.BC и Android.Trojan.HiddenAds.AJR. Чтобы минимизировать риски компрометации, пользователям Android рекомендуется установить решение для обеспечения безопасности и ограничить свои загрузки рекомендованными поставщиками магазинами приложений.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.