26.04.2021

Приложения для вакцины против COVID-19 – удар по цифровой безопасности

Bitdefender > Новости > Приложения для вакцины против COVID-19 – удар по цифровой безопасности

Исследователи Bitdefender обнаружили несколько приложений, использующих преимущества мобильных пользователей для поиска информации о вакцинах или записи на прием. Год назад исследователи заметили кампанию только при начале распространения COVID-19, когда люди искали информацию о болезни.

Кампании с использованием вакцины COVID-19 в качестве предлога для развертывания вредоносного ПО являются глобальной проблемой, и они варьируются от раздражающих приложений (заполненных рекламным ПО) до полноценных банковских троянцев, захватывающих устройство всего за несколько нажатий.

Пользователи Android могут загружать приложения, которых нет в официальном магазине. Обнаруженные нами вредоносные приложения по-прежнему доступны через Google Play, несмотря на усилия Google по отсеиванию вредоносных приложений в процессе загрузки разработчиками.

Hydra Bankers

Два из обнаруженных нами образцов являются частью печально известного семейства троянских программ Hydra. Исторически Hydra была нацелена на турецких пользователей, но в последнее время расширила сферу охвата.

Оба приложения пытаются выдать себя за приложение для вакцинации от коронавируса для пользователей, и их поведение очень похоже. Одна из версий уже упоминалась в Твиттере.

Пользователи могли загружать приложения из доменов, IP-адрес которых принадлежал провайдеру веб-хостинга из Малайзии. На момент написания домены перестали обслуживать вредоносное ПО.

Как только жертвы открывают приложение, их просят активировать разрешение доступа для приложения. Если пользователь соглашается, приложение скрывает свою программу запуска и отправляет SMS-сообщение премиум-класса (чтобы проверить, получили ли вредоносные приложения необходимые разрешения).

Доступы позволяют приложениям проверять содержимое окна и собирать данные, такие как номера кредитных карт, пароли и многое другое. Оттуда утечка банковских данных пользователя – лишь вопрос времени.

Пользователь не может отключить разрешения доступа или удалить приложение, поскольку приложение автоматически перенаправляет их на главный экран.

Вредоносные банковские трояны обычно поставляются со списком банковских приложений, на которые они нацелены. 30 различных приложений являются финансовыми приложениями с преимущественно испаноязычными пользователями.

Наши показания телеметрии показывают, что угроза в настоящее время активна, преимущественно в Испании. Мы обнаруживаем эту угрозу как Android.Trojan.Banker.RY.

Cerberus Bankers

Другая семья банкиров, которая пользуется преимуществами вакцины от коронавируса, — это хорошо известное вредоносное ПО Cerberus «как услуга». Одно из приложений показывает дату архива 26.01.2021.

Вредоносная программа пытается подделать известные законные турецкие приложения для здравоохранения, которые в настоящее время можно найти в Google Play. Семейство Cerberus в значительной степени задокументировано, и с точки зрения поведения эти приложения придерживаются этого шаблона.

После первого нажатия пользователем, чтобы открыть приложение, будет запрошены разрешения доступа, пока пользователь их не предоставит. Приложения будут продолжать появляться и отображать всплывающие сообщения, пока пользователь не сдастся и не примет запрос. После того, как жертвы предоставят вредоносному ПО запрошенные разрешения доступа, приложения скрывают свою панель запуска и переходят к управлению устройством.

Как следует из названия приложения, оба образца были нацелены на Турцию:

Мы обнаруживаем эту угрозу как Android.Trojan.Banker.UI.

Рекламное ПО переупаковано

За последние пару месяцев появилось много законных информационных приложений о вакцине от коронавируса. Vaccinum – одно из них. Изначально это было приложение, предназначенное для предоставления пользователям расширенных статистических данных о статусе вакцинации на национальном и глобальном уровнях. Однако это сделало его идеальной мишенью для создателей вредоносных программ.

Появились новые версии приложений. Хотя эта версия аналогична исходному приложению по функциональности, в нее входит рекламное ПО. Каждый раз, когда пользователь открывает измененное приложение, через пару секунд появляется всплывающее окно с рекламой и запросом с сайта на отправку уведомлений на устройство. В объявлении также есть кнопка «Пропустить объявление», которая, несмотря на название, ничего не делает. Он просто открывает другое объявление в браузере. Хост-сайт запрашивает отправку уведомлений, после чего сайт пытается обмануть пользователя.

В этом примере веб-сайт пытается убедить жертву отправить текстовое сообщение на короткий код:

Мы обнаруживаем эту угрозу как Android.Adware.Agent.BMI.

Совместное использование рекламного ПО

1 марта 2021 года правительство Индии запустило платформу Co-Win для отслеживания и регистрации вакцин против COVID-19. Быстро появились сообщения о вредоносных программах, имитирующих Co-Win и о злоумышленниках, копирующих другие индийские приложения для здравоохранения. Сразу же последовало рекламное ПО и поддельные приложения. Правительство Индии сделало предупреждение по этому поводу.

Мы заметили, что в официальном магазине Google Play появляется все больше рекламного ПО. Google пытался должным образом проверить все приложения, связанные с вакцинацией, но некоторые из них не выдержали.

Приложение под названием «Руководство для приложения Co-Win India» (с названием пакета register.guidefor.cowin20), которое также использует преимущества индийской системы регистрации вакцины против COVID, не должно быть в официальном магазине.

Наши системы показывают, что это приложение активно в Google Play по крайней мере с середины января. Приложение пытается предоставить информацию о том, как использовать систему Co-Win. Однако приложение засыпает своих пользователей рекламой.

Это приложение поставляется с заявлением об отказе от ответственности: «Это приложение не является официальным приложением какого-либо государственного учреждения, правительственных сайтов или правительственной программы», но оно не предлагает облегчения читателю, который хочет оставаться в курсе, а вместо этого представляет собой рекламу.

Беглый взгляд на приложение показывает нам рекламу, на которую указывают пользователи:

Google был проинформирован об этом; мы советуем пользователям избегать таких приложений, пока Google Play не примет соответствующие меры.

Эта угроза обнаружена как Android.Adware.Agent.BMF.

Заключение

Эти примеры – лишь верхушка айсберга приложений, ориентированных на вакцины. Вредоносные программы и рекламное ПО будут и дальше нарушать спрос людей на вакцины. Пользователям Android всегда следует опасаться приложений, запрашивающих доступ к Службе специальных возможностей, поскольку это основной путь доступа преступников к мобильным устройствам.

Мы советуем людям проявлять бдительность и получать любую информацию, связанную с COVID-19, из известных, надлежащих каналов и официальных правительственных источников.

Bitdefender Mobile Security and Antivirus обнаруживает и удаляет все вредоносные программы, связанные с этой атакой.

Новости
12.05.2021
WhatsApp: спамеры закидывают почты пользователей фейковыми предложениями «для взрослых»
01.05.2021
Недостатки Apple AirDrop позволяют хакерам захватить номера телефонов и электронную почту пользователей
30.04.2021
От взломов до пустых кошельков – как популярные взломы приводят к краже цифровой валюты и данных