Вредоносная программа может захватывать учетные данные для более чем 450 приложений и обходить двухфакторную аутентификацию на основе SMS.
Исследователь вредоносных программ ESET Лукас Стефанко обнаружил, что киберпреступники пытаются воспользоваться популярностью Clubhouse для распространения вредоносного ПО, которое нацелено на кражу данных для входа в систему для различных онлайн-сервисов.
Этот вредоносный пакет, замаскированный под (пока еще не существующее) Android-версию приложения для аудиочата, доступного только по приглашениям, передается с веб-сайта, который имеет внешний вид настоящего веб-сайта Clubhouse. Троян, получивший от ThreatFabric прозвище «BlackRock» и обнаруженный продуктами ESET как Android/TrojanDropper.Agent.HLR, может украсть данные для входа в систему не менее чем 458 онлайн-сервисов.
В целевой список входят известные финансовые и торговые приложения, биржи криптовалюты, а также социальные сети и платформы обмена сообщениями. Во-первых, в списке есть Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA и Lloyds Bank.
«Сайт выглядит как настоящий. Откровенно говоря, это хорошо оформленная копия законного веб-сайта Clubhouse. Однако, как только пользователь нажимает «Получить в Google Play», приложение будет автоматически загружено на устройство пользователя. В отличие от этого, легитимные веб-сайты всегда перенаправляют пользователя в Google Play, а не напрямую загружают Android Package Kit или сокращенно APK », — сказал Лукас Стефанко.
Еще до нажатия кнопки есть признаки того, что что-то не так, например, соединение небезопасно (HTTP вместо HTTPS) или что сайт использует домен верхнего уровня (TLD) «.mobi», а не «.com», используемое законным приложением. Еще один тревожный сигнал должен заключаться в том, что, хотя Clubhouse действительно планирует вскоре запустить версию своего приложения для Android, платформа в настоящее время все еще доступна только для iPhone.
После того, как жертву обманом заставили загрузить и установить BlackRock, троян пытается украсть ее учетные данные, используя оверлей-атаку. Другими словами, всякий раз, когда пользователь запускает одно из целевых приложений, вредоносная программа создает оверлей приложения для кражи данных и запрашивает у пользователя вход в систему. Вместо входа в систему пользователь невольно передает свои учетные данные киберпреступникам.
Использование двухфакторной аутентификации на основе SMS (2FA) для предотвращения проникновения кого-либо в ваши учетные записи не обязательно поможет в этом случае, поскольку вредоносное ПО также может перехватывать текстовые сообщения. Вредоносное приложение также просит жертву включить службы доступности, позволяя злоумышленникам получить контроль над устройством.
Безусловно, есть и другие способы обнаружения злонамеренной приманки. Лукас Стефанко указывает, что имя загруженного приложения «Install» вместо «Clubhouse» должно быть мгновенным красным флажком. «Хотя это демонстрирует, что создатель вредоносного ПО, вероятно, был слишком ленив, чтобы должным образом замаскировать загруженное приложение, это также может означать, что в будущем мы можем обнаружить еще более изощренные подражатели», — предупредил он.
Возможно, это также хорошая возможность освежить в памяти лучшие практики мобильной безопасности:
- Используйте только официальные магазины для загрузки приложений на свои устройства.
- Будьте осторожны с тем, какие разрешения вы предоставляете приложениям.
- Своевременно обновляйте свое устройство, в идеале настройте его на автоматическое исправление и обновление.
- По возможности используйте программные или аппаратные генераторы одноразовых паролей (OTP) вместо SMS.
- Перед загрузкой приложения поищите информацию о разработчике, а также о рейтингах и отзывах пользователей приложения.
- Используйте надежное решение для мобильной безопасности.
.jpg)
.png)