Android-вредонос XLoader теперь запускается автоматически после установки

Android-вредонос XLoader теперь запускается автоматически после установки

Android-вредонос XLoader теперь запускается автоматически после установки

В дикую природу запустили новую версию Android-вредоноса XLoader. Отличаются свежие образцы возможностью автоматически запускаться на устройствах жертв, без всякого взаимодействия с пользователем.

XLoader (его ещё иногда называют MoqHao) управляется финансово мотивированной кибергруппировкой Roaming Mantis, которая ранее атаковала граждан США, Великобритании, Германии, Франции, Японии, Южной Кореи и др.

Вредоносная программа, как правило, доставляется с помощью СМС-сообщений, в которых содержится сокращённая ссылка. Этот URL ведёт на загрузку установочного APK-файла.

Новый варианты XLoader обнаружили и описали специалисты компании McAfee. По их словам, зловред теперь запускается автоматически после инсталляции. Новая функциональность позволяет трояну работать менее заметно.

 

«Как только вредоносное приложение установлено, его активность стартует автоматически. Мы уже отправили описание нового поведения XLoader представителям Google», — объясняют в McAfee.

Стоит также отметить, что Roaming Mantis использует Unicode-строки для маскировки кода вредоносного APK, который, как правило, выдаёт себя за что-нибудь легитимное вроде Google Chrome.

 

Чтобы обойти детектирование антивирусными средствами, XLoader проходит по размещённым в профилях Pinterest ссылкам. Вредонос может выполнять множество команд, которые приходят ему от сервера злоумышленников (C2). Наиболее выделяются следующие команды:

  • get_photo — передаёт все фотографии на контрольный сервер.
  • getSmsKW — отправляет все СМС-сообщения на C2.
  • sendSms — позволяет вредоносу отправлять СМС-сообщения и распространять таким образом XLoader дальше.
  • gcont — экспортирует список контактов.
  • getPhoneState — собирает идентификационные данные устройства (IMEI, номер симки, Android ID, серийные номер).
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В системах ГИБДД произошел масштабный сбой

Автовладельцы не могут поставить машины на учёт из-за сбоя в системах, а инспекторы лишились доступа к базам данных электронных ПТС и государственных номеров.

Как сообщает телеграм-канал Baza, перебои в работе систем ГИБДД начались ещё на прошлой неделе, однако тогда они были кратковременными. Сегодня же сервисы полностью вышли из строя.

«Никто не может зайти в личный кабинет и зарегистрировать автомобиль. Отделения, где принимают на учёт, переполнены людьми с талонами на руках, но, по словам источника, получить заветный квиток удаётся не всем», — отмечает канал.

По данным источника, во многих подразделениях образовались длинные очереди, которые практически не двигаются. Сотрудники советуют гражданам приходить в другие дни.

Без привычных инструментов остались и инспекторы: невозможно проверить электронный паспорт транспортного средства, а также установить подлинность и принадлежность регистрационных номеров. Причины сбоя и сроки его устранения пока неизвестны.

Крупный сбой в работе систем ГИБДД уже происходил в апреле 2024 года. Тогда о нём также сообщал телеграм-канал Baza. Проблемы затронули несколько регионов России и, по данным ТАСС, были связаны с переходом на отечественное программное обеспечение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru