Описание вредоносного ПО

Привет из Малайзии

В середине февраля 2013 года один из наших пользователя из Малайзии обратился к нам с просьбой проверить приложение «My HRMIS & JPA Demo» от автора «Nur Hazri» из Google Play.

Подозрение пользователя вызвало большое количество разрешений, необходимых для работы этого приложения, хотя заявленный функционал – всего лишь открытие четырех сайтов.

После запуска приложение показывает пользователю четыре картинки-кнопки:

После нажатия на соответствующую картинку в стандартном браузере Android открывается сайт:

кнопка 1 открывает http://www.bheuu.gov.my/puspanita/;

кнопка 2 — http://www.jpa.gov.my/;

кнопка 3 — http://www.mampu.gov.my/web/guest;

кнопка 4 — http://www.eghrmis.gov.my/.

Это то, что видит пользователь. Однако есть кое-что, чего он не знает: при нажатии на кнопку 2 произойдет не только открытие сайта, но и… кража 10 последних контактов (имя и номер), а после нажатия кнопки 4 приложение сначала украдет последние три входящих сообщения, а затем уже откроет веб-страницу.

В обоих случаях кража происходит с помощью отправки SMS со всеми данными в текстовом виде на номер 0187109971.

Этот шпион нацелен на Малазийских пользователей, что подтверждают данные нашего сервиса KSN – мы видели установки только с территории Малайзии.

Приложение «My HRMIS & JPA Demo» было задетектировано нами, как Trojan-Spy.AndroidOS.Nuhaz.a. Мы проинформировали службу безопасности Google о наличии угрозы в магазине приложений. В настоящее время вредоносное приложение удалено.

PS У этого же автора есть еще две программы в Google Play:

Это «легальные шпионы», мы детектируем их как not-a-virus:HEUR:Monitor.AndroidOS.Crakm.a и not-a-virus:HEUR:Monitor.AndroidOS.Lambs.a.

 

Привет из Малайзии

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике