Новий троян для Android маскується під додаток Clubhouse

19 март, 2021 - 15:27

Новий троян для Android маскується під додаток Clubhouse

Компанія ESET повідомляє про виявлення трояна для Android, який може викрадати дані для входу у різні онлайн-сервіси. Зокрема шкідливе програмне забезпечення поширюється під виглядом ще неіснуючої Android-версії популярної програми для аудіочатів Clubhouse, вхід у яку доступний тільки за запрошеннями.

Ця загроза під назвою BlackRock може викрадати дані для входу у близько 458 онлайн-сервісів. Троян для Android націлюється на відомі фінансові програми, додатки для шопінгу, криптовалютні біржі, а також соціальні мережі та платформи для обміну повідомленнями. Серед таких програм опинилися Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA та Lloyds Bank.

«Сайт важко відрізнити від справжнього, оскільки він виглядає як якісна копія легітимного веб-сайту Clubhouse. Як тільки користувач натискає «Завантажити з Google Play», додаток автоматично завантажується на пристрій користувача. Варто зазначити, що легітимні веб-сайти завжди перенаправляють користувача в Google Play, а не пропонують одразу завантажити програму», — коментує Лукаш Стефанко, дослідник компанії ESET.

Новий троян для Android маскується під додаток Clubhouse

Ще до моменту натискання кнопки можна помітити ознаки шкідливої активності, зокрема небезпечне з'єднання HTTP замість HTTPS та наявність домену «.mobi», а не «.com», який зазвичай використовується легітимною програмою (Рис. 1). Також варто пам’ятати, що, хоча Clubhouse дійсно планує незабаром запустити версію свого додатка для Android, наразі платформа залишається доступною тільки для користувачів iPhone!
Рис.1. URL-адреси шахрайського (ліворуч) та легітимного (праворуч) веб-сайту.
Після завантаження BlackRock намагається викрасти облікові дані жертви, використовуючи атаку з накладенням шкідливих вікон. Таким чином кожного разу під час запуску додатка загроза відображає вікно для входу в систему, ідентичне справжній програмі. Але замість входу в систему користувач передає свої облікові дані кіберзлочинцям.

У цьому випадку двофакторна аутентифікація з використанням SMS-повідомлень не захистить від несанкціонованого доступу, оскільки троян для Android також може перехоплювати текстові повідомлення. Шкідливий додаток також просить жертву надати певний доступ, таким чином дозволяючи зловмисникам отримати контроль над пристроєм.

Крім цього, ім'я завантаженої програми «Install» замість «Clubhouse» має одразу викликати підозру. «Автори шкідливого програмного забезпечення не доклали необхідних зусиль для маскування додатка. Однак згодом можуть з'явитися кіберзлочинці з більш витонченими методами обману користувачів», — попереджає Лукаш Стефанко.