«Касперский зертханасы» жаһандық қауіп-қатерді зерттеу және талдау орталығының (Kaspersky GReAT) сарапшылары жаңа зиянды науқанды тапты, онда зиянкестер Android үшін Starlink қолданбасы ретінде BeatBanker троянын таратты. Шабуылдаушылардың негізгі мақсаты — Бразилиялық пайдаланушылар, бірақ мамандар басқа елдердің тұрғындарына да қауіп төнуі мүмкін екенін жоққа шығармайды. Троян жұқтырған құрылғыларға Monero криптомайнерін, сондай-ақ BTMOB RAT зиянкесін орнатады. Құрылғыға бекіту үшін BeatBanker циклде дыбыссыз аудио файлды ойнатумен ерекше механизмді қолданады.
«Бұған дейін BeatBanker әлеуметтік қызметтер саласындағы қосымшалар түрінде таралған — ол майнермен бірге банктік троянды орнататын. Жақында біз BeatBanker-дің банктік троянның орнына BTMOB RAT орнататын жаңа нұсқасымен байланысты кампанияны анықтадық. Зиянкестер әртүрлі елдердегі құрбандар санын арттыру үшін жаңа алдау тәсілі ретінде Starlink жалған қосымшасын пайдалануда. Сондықтан пайдаланушыларға сақ болу және смартфондарын қорғау үшін сенімді шешімдерді қолдану маңызды», — деп түсіндіреді Фабио Ассолини, Kaspersky GReAT-тың Латын Америкасы мен Еуропа бойынша жетекшісі.
Инфекцияның бастапқы бағыты
Касперский зертханасының сарапшылары шабуылдаушылар Google Play-ге еліктейтін фишингтік беттер арқылы BeatBanker бар жалған Starlink қосымшасын таратады деп болжайды. Бұзылған құрылғыда іске қосылғаннан кейін, Троян Google Play-ге еліктейтін бетті көрсетеді. Осылайша, шабуылдаушылар құрбандарды қосымша зиянды жүктемені жүктеу үшін орнатуға рұқсат беруге мәжбүр етеді.
Криптомайнер және BTMOB RAT модулі
Егер пайдаланушы жалған Google Play бетіндегі «Жаңарту» түймесін басса, оның құрылғысына Monero крипто-майнері орнатылады. BeatBanker батарея пайызын, жұқтырған смартфонның температурасын, сондай — ақ пайдаланушының белсенділігін бақылайды-және осыған байланысты майнер іске қосылуы немесе тоқтауы мүмкін.
Android Трояны вирус жұқтырған BTMOB RAT смартфонына да орнатады. Бұл шабуылдаушыларға құрылғыны толық қашықтан басқаруға мүмкіндік береді және «қызмет ретінде зиянды БҚ» (MaaS) моделі бойынша таратылады. Құрал рұқсаттарды автоматты түрде беруге, жүйелік хабарландыруларды жасыруға қабілетті және PIN, графикалық кілттер мен құпия сөздерді қоса, экран құлпын ашу үшін деректерді ұстауға арналған механизмдері бар. Зиянды бағдарлама сонымен қатар шабуылдаушыларға алдыңғы және артқы камераларға қол жеткізуге, жәбірленушінің GPS орналасқан жерін бақылауға және басқа құпия деректерді жинауға мүмкіндік береді.
Құрылғыға бекіту үшін BeatBanker сервисті күй-барда нотификациямен белсендіреді, онда циклде дыбыссыз аудио файл ойнатылады — ОЖ зиянды процесті аяқтамауы үшін.
«Касперский Зертханасының» шешімдері осы қауіптен қорғайды және оны HEUR:Trojan-Dropper AndroidOS.BeatBanker және HEUR: Trojan-Dropper.AndroidOS.Banker.*деп анықтайды.
Мобильді қауіптерден қорғану үшін «Касперский зертханасы» ұсынады:
* қолданбаларды тек Apple App Store және Google Play сияқты ресми дүкендерден жүктеп алыңыз және тәуекелдерді азайту үшін шолуларды мұқият қарап шығыңыз;
* зиянды әрекеттерді уақытында анықтауға және бұғаттауға қабілетті сенімді қорғаныс БҚ қолданыңыз, мысалы Kaspersky Premium;
* қолданылатын қолданбалардың рұқсаттарын тексеріңіз және оларды өте қажет етпей бермеңіз, әсіресе қол жетімділік (Accessibility Services) сияқты жоғары тәуекелді рұқсаттар туралы.
* амалдық жүйенің және басқа бағдарламалық жасақтаманың жаңартуларын олар шыққаннан кейін бірден орнатыңыз, өйткені оларда қауіпсіздікке қатысты түзетулер болуы мүмкін.
Kaspersky GReAT туралы
Kaspersky GReAT жаһандық қауіп-қатерді зерттеу және талдау орталығы 2008 жылы құрылған. Оның міндеттеріне ең күрделі шабуылдарды, кибер тыңшылық науқандарын, инфекцияның жаңа әдістерін, нөлдік күндік осалдықтарды пайдаланатын эксплуатацияларды іздеу және зерттеу кіреді. Бүгінде Орталық командасында бүкіл әлем бойынша — Еуропада, Ресейде, Оңтүстік Америкада, Азияда, Таяу Шығыста жұмыс істейтін 35-тен астам сарапшы бар. Олар ең күрделі шабуылдарды, соның ішінде кибер тыңшылық пен киберзымияндық науқандарды тергеудегі жетістіктерімен танымал.