Команда McAfee обнаружила новый вид мобильного вредоносного ПО, которое нацелено на мнемонические ключи, содержащие 12 слов, используемых для восстановления криптовалютных кошельков. Этот вирус активно распространяется через поддельные приложения, которые маскируются под банковские, государственные и утилитарные программы. Попадая на устройство, он собирает личные данные, включая текстовые сообщения, контакты и изображения, которые отправляются на удалённые серверы злоумышленников.
С января 2024 года более 280 фальшивых приложений начали атаковать пользователей в Корее. Эти программы не только воруют данные, но и скрывают свою активность за пустыми экранами или перенаправлениями.
Вредоносное ПО распространяется через фишинговые сообщения и социальные сети, где пользователям предлагается перейти по ссылкам на поддельные сайты, выглядящие как настоящие. После перехода на такой сайт предлагается загрузить APK-файл, который на самом деле является вирусным приложением. Во время установки приложение запрашивает разрешения на доступ к SMS-сообщениям, контактам и другим данным, которые используются для компрометации устройства.
После установки вредоносное ПО начинает красть информацию и отправлять её на серверы злоумышленников. Оно может получать команды для управления устройством, включая изменение звуковых настроек и отправку SMS-сообщений. Было выявлено, что злоумышленники используют уязвимые командные серверы с слабыми настройками безопасности, что позволило исследователям получить доступ к их содержимому.
Один из ключевых аспектов атаки — получение мнемонических фраз для доступа к криптовалютным кошелькам. Сервера обрабатывают изображения с устройства, используя технологию оптического распознавания символов (OCR), что позволяет извлекать текст из фотографий и упрощает дальнейшее использование данных.
За последние месяцы вредоносное ПО стало ещё более изощрённым. Оно перешло с простых HTTP-запросов на соединения WebSocket, что делает его труднее обнаруживаемым и более эффективным в реальном времени. Вредоносная активность теперь охватывает не только Корею, но и Великобританию, что свидетельствует о расширении географии атак.
Важным открытием стал факт использования фальшивых приложений, таких как уведомления о смерти, что играет на эмоциях людей и значительно повышает вероятность того, что жертвы примут фальшивое сообщение за правду. Злоумышленники также могут рассматривать возможность атак на пользователей iOS, что представляет дополнительную угрозу для владельцев устройств на этой платформе.
Эта угроза подчёркивает необходимость повышенной осторожности при установке приложений и выдаче разрешений. Регулярные обновления антивирусного ПО и осторожность при использовании сомнительных ссылок могут помочь защититься от подобных атак.
Источник: SecurityLab