Поддельное приложение для Android маскируется под служебную службу для кражи учетных данных онлайн-банкинга у клиентов восьми малазийских банков.
Приложение продвигается через несколько поддельных или клонированных веб-сайтов и учетных записей в социальных сетях для продвижения вредоносного APK-файла «Служба уборки Малайзии».
Это приложение было впервые обнаружено командой MalwareHunterTeam на прошлой неделе и впоследствии проанализировано исследователями Cyble, которые предоставили подробную информацию о вредоносном поведении приложения.
Процесс фишинга
После установки приложения пользователям предлагается подтвердить не менее 24 разрешений, включая рискованное «RECEIVE_SMS», которое позволяет приложению отслеживать и читать все SMS-сообщения, полученные на телефон.
Это разрешение используется для отслеживания текстов SMS с целью кражи одноразовых паролей и кодов MFA, используемых в услугах электронного банкинга, которые затем отправляются на сервер злоумышленника.
После запуска вредоносное приложение отобразит форму, предлагающую пользователю записаться на уборку дома.
Как только пользователь вводит данные своей услуги по уборке (имя, адрес, номер телефона) в поддельном приложении, ему предлагается выбрать способ оплаты.
На этом шаге предлагается выбор малазийских банков и вариантов интернет-банкинга, и если жертва нажимает на один из них, она попадает на поддельную страницу входа, созданную для имитации внешнего вида реальной.
Эта страница входа размещена в инфраструктуре актора, но, конечно, жертва не может понять это из интерфейса приложения.
Любые банковские учетные данные, введенные на этом этапе, отправляются непосредственно субъектам, которые могут использовать их вместе с перехваченным кодом SMS для доступа к учетной записи электронного банкинга жертвы.
Признаки мошенничества
Некоторыми явными признаками мошенничества в учетных записях социальных сетей, продвигающих эти APK, являются их низкое количество подписчиков и тот факт, что они были созданы совсем недавно.
Еще одна проблема — несоответствие предоставленных контактных данных. Поскольку большинство сайтов-приманок выбрали для имитации настоящие услуги по уборке, различия в телефонных номерах или электронной почте — это большой красный флаг.
Запрошенные разрешения также указывают на то, что что-то не так, поскольку приложение службы очистки не имеет законной причины запрашивать доступ к текстам устройства.
Чтобы свести к минимуму вероятность стать жертвой фишинговых атак такого рода, загружайте приложения для Android только из официального магазина Google Play.
Кроме того, всегда внимательно просматривайте запрошенные разрешения и не устанавливайте приложение, которое запрашивает более высокие привилегии, чем они должны требовать для его функциональности.
Наконец, обновляйте свое устройство, применяя последние доступные обновления безопасности и используя решение безопасности для мобильных устройств от известного поставщика.
Последнее обновление 05.01.2023
