Android-зловред Firestarter использует мессенджер Google для связи с С2

Android-зловред Firestarter использует мессенджер Google для связи с С2

Android-зловред Firestarter использует мессенджер Google для связи с С2

Арсенал APT-группы DoNot пополнился новой программой-загрузчиком для Android, которая способна поддерживать связь со своими хозяевами через Google-сервис Firebase Cloud Messaging (FCM). Использование легитимной облачной службы позволяет злоумышленникам прятать свои команды в общем потоке IM-сообщений, а также быстро перенаправлять зловреда на другой адрес в случае потери C2-сервера.

Группировка DoNot известна своими атаками на пакистанских чиновников и кашмирские НКО, которые они время от времени проводит в ходе затянувшегося конфликта интересов Индии и Пакистана в Кашмире. По свидетельству Cisco Talos, злоумышленники предпочитают оперировать вредоносами для Android и постоянно экспериментируют, оттачивая техники, позволяющие закрепиться на устройстве и скрыть вредоносную активность. 

Новый мобильный загрузчик, именуемый Firestarter, обладает стандартными функциями программы-шпиона и распространяется, скорее всего, через личные сообщения, предлагающие адресату установить некий чат-клиент. Анализ показал, что при запуске зловред отображает мнимый процесс загрузки сообщений, призванный создать иллюзию легитимности скачанной программы. Для пущей убедительности пользователю также сообщают о проблеме совместимости, из-за которой приложение якобы будет удалено.

 

По завершении «деинсталляции» соответствующая иконка исчезает с экрана, и зловреда можно будет выявить лишь по списку установленных приложений. Проверка разрешений для фальшивого чат-клиента покажет, что все они выданы некой системной службе — еще одна уловка для ввода пользователя в заблуждение.

Пока жертва наблюдает процесс «деинсталляции», Firestarter через мессенджер связывается с C2-сервером и отсылает на него информацию о жертве (IP-адрес, IMEI, email), данные геолокации и токен Google FCM. В ответ вредонос может получить команду на загрузку и ссылку на ресурс для скачивания APK-файла.

Характер полезной нагрузки Firestarter точно определить не удалось, так как эксперты проводили тестирование в лабораторных условиях. Установлено лишь, что новый Android-зловред способен загрузить любой из инструментов, используемых в атаках DoNot. При каждой перезагрузке системы Firestarter проверяет наличие скачанного контента и запускает его на исполнение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Шифровальщик PE32 атакует бизнес в России: выкуп до $150 000

В феврале 2025 года российский малый и средний бизнес столкнулся с новой киберугрозой — программой-вымогателем PE32. Новый шифровальщик требует выкуп в размере от 500 до 150 000 долларов США в биткоинах (50 000 – 15 000 000 рублей по текущему курсу) за расшифровку данных.

Об этой киберугрозе сообщили криминалисты F6 в своем блоге.

  • Цель: Вымогательство денег у организаций.
  • Жертвы: Российские компании малого и среднего бизнеса.
  • Метод атаки: Проникновение через скомпрометированные службы удаленного доступа.
  • Технологии: Разработан на языке программирования Rust, использует трехраундовое шифрование файлов, а также является одной из первых программ-вымогателей, использующих постквантовую криптографию.
  • Особенности: В отличие от большинства шифровальщиков, атакующие не похищают данные жертв, а взаимодействие с пострадавшими ведут через электронную почту и Telegram. Контактные данные преступников также используются в других партнерских программах.

С 2022 года количество атак программ-вымогателей в России неуклонно растет, при этом значительная часть группировок имеет проукраинские или ближневосточные корни. Восточные партнерские программы, такие как Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и другие, продолжают атаковать российские организации.

В 2024 году зафиксирован тренд перехода шифровальщиков на атаки Linux-систем наряду с традиционными атаками на Windows. Например, партнерская программа Proxima/BlackShadow адаптировала свои инструменты для Linux. В августе 2024 года появилась новая версия Enmity — программа Mammon, использующая двухпроходное шифрование.

PE32 стал первым выявленным персидским шифровальщиком, разработанным на Rust. Однако он не является первой программой-вымогателем на этом языке, использованной для атак в России — ранее была обнаружена программа Muliaka, предназначенная для атак на виртуальные среды ESXi.

Первые атаки PE32 зафиксированы в середине февраля 2025 года. Исследователи F6 обнаружили, что номера версий шифровальщика (4.0.1 и 4.1.1) указаны в коде вредоносных программ. Более ранние версии PE32 загружались на VirusTotal еще с 4 января 2025 года через анонимные сети Tor и VPN. Специалисты полагают, что таким образом разработчик тестировал уровень детектирования своего софта антивирусными решениями и совершенствовал его защиту от обнаружения.

Рекомендации по защите Чтобы минимизировать риск заражения, экспертное сообщество рекомендует:

  • Использовать многофакторную аутентификацию (MFA) для защиты удаленного доступа.
  • Обновлять системы и программное обеспечение до актуальных версий.
  • Проводить регулярные резервные копирования данных и хранить их в изолированных средах.
  • Ограничить доступ к критически важным системам и мониторить подозрительную активность в сети.

Кибератаки с применением шифровальщиков становятся все более изощренными, а преступники продолжают совершенствовать свои инструменты. Важно своевременно принимать меры защиты, чтобы избежать финансовых и репутационных потерь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru