Система раннего обнаружения киберугроз компании Group-IB, специализирующейся на предотвращении преступлений с использованием высоких технологий, зафиксировала активное распространение новой вредоносной программы, работающей под ОС Android.
Вирус использует данные из телефонной книжки зараженного абонента, а антивирусное ПО не детектирует программу как вредоносную. Многие пользователи телефонов на ОС Android за последнюю неделю получили MMS-сообщения от кого-то из своего контакт-листа со ссылкой. В начале сообщения вирус подставлял имя из записной книжки зараженного лица.
При переходе по ссылке пользователь видел надпись «Уважаемый пользователь, вам пришла ммс-фотография. Посмотреть вы ее можете по ссылке ниже». При нажатии на кнопку «Посмотреть» на устройство загружалась вредоносная программа с расширением .APK. Также злоумышленники заботливо сопроводили спам инструкцией «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK», пишет group-ib.ru.
Механизм работы вируса
Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях.
Также в функционал программы входит показ т.н. веб-фейков – окон браузера, визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.
«Эта угроза направлена на пользователей ОС Android – клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное (и продолжают его не детектировать). Антивирусы в этой ситуации просто не помогают», – сказал руководитель отдела динамического анализа вредоносного кода Group-IB Рустам Миркасымов.
Банки, которые хотят защитить своих клиентов, должны взаимодействовать с компетентными организациями для оперативной блокировки сайтов, распространяющих вредоносное ПО с использованием символики и брендов финансовых учреждений, а также использовать комплексные решения: сервисы, которые позволяют без установки дополнительного программного обеспечения на устройства клиентов выявлять подготовку к хищениям денежных средств, и данные Threat Intelligence, позволяющие отслеживать и предупреждать атаки на пользователей еще на этапе подготовки.
Что делать, чтобы не заразиться:
Настоятельно рекомендуем с максимальной осторожностью относится к «странным» сообщениям, полученных даже от знакомых их списка контактов
Обращайте внимание на расширения загружаемых файлов
Никогда не устанавливайте приложения для Android (.APK) из недоверенных источников и не давайте им дополнительных прав в системе.
Что делать, если вы уже заразились:
Сделайте копию информации с телефона в Google Cloud, чтобы сохранить базу контактов. Этот контент можно безопасно скопировать на ПК.
Сделайте на устройстве «factory reset» – возврат к заводским установкам.
Восстановите данные из облака и скопируйте с ПК
Если вы ввели данные своей карты в регистрационной форме веб-фейка – немедленно заблокируйте карту.
Что делать банкам, чтобы защитить своих клиентов от подобных угроз:
Взаимодействовать с компетентными организациями для оперативной блокировки сайтов, распространяющих вредоносное ПО с использованием символики и брендов финансовых учреждений.
Использовать сервисы, позволяющие без установки дополнительного программного обеспечения на устройства клиентов выявлять подготовку к хищениям денежных средств.
Использовать данные Threat Intelligence, позволяющие отслеживать и предупреждать атаки на пользователей еще на этапе подготовки.
Microsoft поделилась способом устранения ошибки в Windows 10, из-за которой приложения не могут устанавливаться и обновляться. Временным решением проблемы могут воспользоваться те, кто не готов ждать выхода ежемесячных обновлений.
Об ошибке вида «Deployment failed with HRESULT: 0x80073CFA» мы писали на прошлой неделе. Тогда было известно, что обновление WinAppSDK сломало механизм деинсталляции в Windows 10.
Прежде всего баг коснулся пакетных приложений вроде Microsoft Teams. Проблемной версией считается WinAppSDK 1.6.2.
Чтобы уберечь других пользователей Windows 10 от этого бага, Microsoft отозвала WinAppSDK 1.6.2, а спустя несколько дней — выпустила предварительный апдейт KB5046714, который якобы должен устранить баг.
«Мы изучили соответствующие логи и пришли к выводу, что проблема с WinAppSDK может мешать пользователям устанавливать и обновлять софт», — объясняет менеджер по продуктам Microsoft Рой Маклахлан.
«Чтобы минимизировать последствия и не распространять ошибку далее, мы приняли решение отозвать WinAppSDK версии 1.6.2».
Помимо этого, корпорация поделилась альтернативным способом устранения ошибки 0x80073CFA. В частности, предлагается установить WinAppSDK 1.6.3, причём сделать это придётся три раза.
Чтобы проверить, затронута ли ваша система, можно ввести следующую PowerShell-команду:
Get-Appxpackage *WindowsAppRuntime.1.6* -AllUsers | Where { $_.Version -eq '6000.311.13.0' }
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.