Новая вредоносная кампания для Android,
распространяющая ранее неопознанный SMS-хищник, заразила почти 100 000
устройств, в основном в Узбекистане.
Вредоносное ПО, получившее название Qwizzserial, было
обнаружено исследователями Group-IB в ходе более масштабного расследования
киберпреступной деятельности, связанной с семейством вредоносных программ
Ajina.
Распространение через
Telegram и знакомая структура
Вредоносное ПО Qwizzserial распространяется через
Telegram, где киберпреступники выдают себя за государственные учреждения,
предлагающие финансовую помощь. Мошенники маскируют вредоносные приложения,
используя такие названия, как «Президентская поддержка» или «Финансовая
помощь», обманывая пользователей, заставляя их загружать APK-файлы, содержащие
вредоносное ПО.
Эти Telegram-каналы часто публикуют фейковые
правительственные указы, чтобы завоевать доверие.
Кампания имитирует модель
мошенничества Classiscam , но вместо фишинговых ссылок она использует
ботов Telegram для генерации APK-стиллеров. Эти боты также управляют каналами
координации команды, адаптацией новых участников и «каналом прибыли», демонстрирующим
доходы.
Одна группа, стоящая за этой схемой, заработала не
менее 62 000 долларов в период с марта по июнь 2025 года.
Возможности и эволюция
Qwizzserial
Qwizzserial нацелен на аутентификацию на основе SMS,
широко используемый метод в узбекских платежных системах. После установки
приложение запрашивает доступ к состоянию телефона и разрешениям SMS, а затем
собирает конфиденциальные данные, такие как:
- Номера
телефонов и номер банковской карты с указанием срока действия
- Входящие,
отправленные и другие SMS-сообщения, заархивированные в виде ZIP-файлов
- Подробная
информация об установленных узбекских банковских приложениях
- Информация
о SIM-карте, включая коды MCC/MNC и название оператора
Вредоносная программа также сканирует сообщения на
предмет банковских условий и крупных сумм свыше 500 000 UZS (около $38).
Эксфильтрация происходит через ботов Telegram или, в более новых вариантах,
через шлюзовой сервер с использованием HTTP POST-запросов.
Последние версии демонстрируют дополнительную
настойчивость, например, запросы на отключение оптимизации батареи, и больше не
запрашивают данные банковской карты напрямую. Вместо этого злоумышленники
теперь могут полагаться на скомпрометированные учетные данные для доступа к
банковским приложениям.
Растущая угроза
По данным Group-IB, влияние Qwizzserial усиливается
зависимостью Узбекистана от SMS как единственного уровня аутентификации в
цифровых платежах. Отсутствие более надежной защиты, такой как биометрия или 3D
Secure, позволяет злоумышленникам эффективно эксплуатировать эту единую точку
отказа.
«Эта кампания показывает, как развиваются операции в
стиле Classiscam», — заявили в компании.
«Злоумышленники постоянно корректируют свою тактику,
чтобы идти в ногу с изменениями в привычках пользователей, мерах безопасности и
политиках платформы. Вместо использования фишинговых ссылок они теперь
распространяют вредоносные APK-файлы через Telegram, что делает процесс более
эффективным, более сложным для отслеживания и более легким для присоединения
новых киберпреступников».
Чтобы снизить риск, Group-IB советует пользователям избегать установки
приложений из неофициальных источников и внимательно проверять разрешения
приложений. Компаниям рекомендуется отслеживать сеансы пользователей, запускать
кампании по повышению осведомленности и внедрять системы обнаружения на основе
поведения
Дополнительная
информация:
Coinbase
пострадала от утечки данных, подверглась вымогательству (но не заплатила)
"Почему
Kubernetes стал неотъемлемой частью современных IT-решений"
Samsung исправляет уязвимость
сервера MagicInfo 9, которой воспользовались злоумышленники
Фальшивые атаки: почему они опаснее,
чем кажутся
Как работают более 300 000 жёстких
дисков в реальных условиях
-теги:
Android, SMS-шпион, Qwizzserial, кибербезопасность, Узбекистан, Group-IB,
Telegram, мошенничество, APK, финансовая помощь, киберпреступность, цифровые
платежи, аутентификация, биометрия, 3D Secure, вредоносное ПО, Classiscam,
APK-стиллеры, боты Telegram, киберзащита, эксфильтрация данных, оптимизация
батареи, банковские приложения, SIM-карта, MCC/MNC, уязвимость, кибератаки.
Комментариев нет:
Отправить комментарий