Свадьба не состоится: анализ стилера Tria

Введение

С середины 2024 года мы наблюдаем за вредоносной кампанией, нацеленной на пользователей Android-устройств: злоумышленники используют приглашения на свадьбу в качестве приманки, чтобы обманом заставить своих жертв установить вредоносное приложение (APK-файл). Изучив уникальные строки стилера, мы назвали его Tria. География атак ограничена двумя странами — Малайзией и Брунеем, причем пользователи из Малайзии пострадали больше других.

В ходе расследования мы нашли артефакты на индонезийском языке — несколько уникальных строк в самом зловреде, а также шаблон именования Telegram-ботов, которые используются для связи с командным сервером, — и пришли к выводу, что за атаками стоят злоумышленники, владеющие индонезийским языком.

Вот краткий обзор наших выводов.

• Стилер Tria собирает данные из SMS и электронной почты (например, из сервисов Gmail и Outlook), читает журналы вызовов и сообщения (например, из приложений WhatsApp и WhatsApp Business).
• Tria использует API Telegram для отправки собранных данных через несколько Telegram-ботов.
• Злоумышленники используют украденные данные для взлома учетных записей в мессенджерах, рассылки сообщений контактам жертвы с просьбой перевести деньги, а также компрометации аккаунтов в различных сервисах.

Решения «Лаборатории Касперского» детектируют эту угрозу как HEUR:Trojan-Spy.AndroidOS.Agent.*.

Техническая информация

Предыстория

Во время изучения телеметрии Kaspersky Security Network (KSN) и данных сторонних антивирусных платформ мы обнаружили несколько образцов APK-файлов с вердиктом Trojan-Spy.AndroidOS.Agent, которые распространялись в Малайзии и Брунее.

В ходе дальнейшего расследования мы нашли в социальных сетях X и Facebook* многочисленные посты пользователей Android из Малайзии, которые обсуждали распространение вредоносных APK-файлов и взлом WhatsApp. Наш анализ показал, что кампания активна с марта 2024 года. Злоумышленники отправляют пользователям приглашения на свадьбу, для просмотра которых нужно установить вредоносное приложение. Мы нашли две версии вредоносных APK-файлов: первая появилась в марте, а вторая — в августе 2024 года. Вторая версия содержала дополнительную функциональность, а также новые формулировки в сообщениях, отправляемых в Telegram-боты.

Мы назвали этот зловред Tria — по имени пользователя, обнаруженному в сообщениях, которые стилер передает на командный сервер при первом запуске: «Having any issues? Contact me at ‘https://t[.]me/Mr_tria» («Возникли проблемы? Свяжитесь со мной: https://t[.]me/Mr_tria»). Возможно, Mr Tria отвечает за поддержку или за организацию всей кампании.

Схема вредоносной кампании Tria

Мы выяснили, что злоумышленники перехватывают коды безопасности, которые пользователь получает в мессенджерах, SMS-сообщениях или по электронной почте, и используют их для взлома учетных записей WhatsApp и Telegram и последующего распространения вредоносного APK-файла среди контактов, найденных на устройстве жертвы. Кроме того, злоумышленники нередко просят пользователей WhatsApp и Telegram перевести деньги на их счет, рассылая сообщения от лица владельца взломанной учетной записи.

Также в рамках этой кампании атакующие могли получить доступ к учетным записям пользователей в различных сервисах, перехватывая код авторизации транзакции или одноразовый пароль из SMS-сообщений.

Метод доставки

Злоумышленники распространяют вредоносный APK-файл через приватные и групповые чаты в Telegram и WhatsApp — они приглашают участников чата на свадьбу и предлагают им установить приложение для получения пригласительного.

Доставка стилера через взломанную учетную запись WhatsApp (слева) и Telegram (справа)

Первый запуск

После установки приложение проверяет, запускается ли оно на устройстве Android впервые, при помощи функции IntroActivity: она выполняется только при первом запуске зловреда. Приложение также извлекает из объекта SharedPreferences значение типа boolean, связанное с ключом firstStart. Если ключ не существует, возвращается значение по умолчанию true, которое означает, что приложение открывается впервые.

В этом случае зловред запрашивает разрешение android.permission.RECEIVE_SMS, которое позволит ему читать все новые SMS-сообщения. Стилер использует значок шестеренки для маскировки под системное приложение настроек, чтобы жертва не усомнилась в легитимности как полученного запроса, так и самого приложения.

Получив разрешение, приложение запрашивает номер телефона пользователя.

Диалоговое окно, в которое пользователь должен ввести номер телефона (слева — новая версия зловреда, справа — более ранняя)

После того как жертва укажет свой номер и нажмет кнопку Next, номер телефона, данные о производителе и модели устройства объединяются в строку, которая будет в дальнейшем передана на командный сервер. К этой же строке добавляется сообщение с контактами Mr Tria.

Формирование строк перед отправкой в бот

Затем зловред отправляет собранную информацию в один из Telegram-ботов злоумышленников при помощи API Telegram sendMessage.

Отправка сообщений в бот

В рамках этой кампании большинство образцов вредоносного ПО обращаются к разным ботам, однако нам удалось найти несколько образцов, которые используют общий бот.

Приложение обновляет записанные в объекте SharedPreferences данные указанием на то, что зловред уже запускался, поэтому при последующих запусках функция IntroActivity выполняться не будет.

Основная функциональность

Для активации основной функциональности стилера Tria после первичного выполнения, а также при каждом последующем запуске используется объект намерения (Intent).

Зловред запрашивает все разрешения, объявленные в его манифесте:

1. android.permission.READ_SMS;
2. android.permission.RECEIVE_SMS;
3. android.permission.INTERNET;
4. android.permission.ACCESS_NETWORK_STATE;
5. android.permission.READ_PHONE_STATE;
6. android.permission.READ_CALL_LOG;
7. android.permission.SYSTEM_ALERT_WINDOW;
8. android.permission.WAKE_LOCK;
9. android.permission.RECEIVE_BOOT_COMPLETED;
10. android.permission.FOREGROUND_SERVICE.

Получив эти права, приложение сможет просматривать сообщения и данные вызовов, а также собирать различную другую информацию, например о состоянии сети.

В манифестах новых версий приложения объявлено еще одно разрешение — android.permission.BIND_NOTIFICATION_LISTENER_SERVICE. Оно позволяет зловреду перехватывать сообщения и электронные письма через уведомления.

Приложение уведомляет злоумышленников о своем запуске через Telegram-бот.

Формирование строк, информирующих о запуске вредоносного приложения

Кроме того, при запуске вредоносное ПО активирует фоновую службу, которая с помощью намерения открывает системные настройки, таким образом не вызывая у пользователя сомнений в легитимности приложения.

Мониторинг SMS и вызовов

Во всех образцах и версиях стилера Tria вредоносный APK-файл использует функцию BroadcastReceiver для отслеживания новых входящих сообщений и вызовов с помощью компонентов SMSMonitor и CallMonitor. SMSMonitor перехватывает данные из SMS, в том числе содержимое сообщения, номер отправителя и информацию о слоте SIM-карты. CallMonitor отслеживает входящие звонки и, как и SMSMonitor, извлекает номер телефона звонящего и информацию о слоте SIM-карты (для устройств с несколькими SIM-картами). Эти компоненты позволяют собирать и другие сведения, например уровень заряда батареи.

Затем зловред обрабатывает все собранные данные и отправляет их в Telegram-бот в одном сообщении.

Формирование строк для отправки данных из SMS

Как правило, злоумышленники используют эту функциональность для перехвата сообщений с кодами авторизации транзакций или одноразовыми паролями и последующего взлома учетных записей в WhatsApp, Telegram и различных сервисах.

Перехват сообщений в мессенджерах и электронной почте

Последняя версия стилера Tria отличается от предыдущих возможностью извлечения личных сообщений, передаваемых через мессенджеры и электронную почту, из пакетов, используемых рядом приложений, включая следующие:

Для извлечения сообщений злоумышленники перехватывают уведомления этих приложений. Функция onNotificationPosted из пользовательского класса AppNotificationListener вызывается всякий раз, когда какое-либо из целевых приложений присылает уведомление.

Функция onNotificationPosted

Из свойства packageName полученного уведомления зловред извлекает название приложения. Нераспознанным приложениям присваивается метка Unknown App (неизвестное приложение). Затем стилер извлекает содержимое уведомления и создает строку, добавляя в нее данные из уведомления, название приложения, имя контакта, информацию об устройстве (производитель и модель) и номер телефона жертвы. Готовая строка передается в Telegram-бот в виде сообщения.

Создание сообщения для отправки в бот

По нашим наблюдениям, злоумышленники используют отдельные Telegram-боты для работы с разными типами украденных данных. Один бот используется для сбора текстовых данных из мессенджеров и электронной почты, а другой — для работы с данными из SMS. Таким образом, новые версии вредоносного приложения содержат идентификаторы двух Telegram-ботов.

Кража учетных записей

Основная цель злоумышленников — получить полный доступ к учетным записям жертвы в WhatsApp и Telegram, чтобы:

1. распространять вредоносный APK-файл среди контактов жертвы через групповые чаты и личные сообщения, увеличивая масштаб кампании;
2. рассылать сообщения контактам жертвы от ее лица с просьбой перевести деньги на счет атакующих.

Мы также предполагаем, что, перехватывая содержимое SMS-сообщений, злоумышленники могли взламывать учетные записи жертв в различных сервисах. Украденные данные также могли использоваться для осуществления другой вредоносной деятельности, например для доступа к интернет-банкам, изменения паролей на некоторых платформах или компрометации сервисов, которые аутентифицируют пользователей через мессенджеры и электронную почту.

Атрибуция

Мы с высокой степенью уверенности полагаем, что злоумышленники, организовавшие эту кампанию, владеют индонезийским языком, поскольку некоторые строки, передаваемые в Telegram-бот, содержат текст на индонезийском, например APLIKASI DI BUKA LAGI (что означает «Приложение снова запущено»).

Жертвы

Атаки не были нацелены на конкретных пользователей, но ограничивались территорией Малайзии и Брунея. Наибольшее количество детектов пришлось на середину 2024 года, однако мы фиксируем распространение стилера Tria и в январе 2025 года.

Похожий сценарий: кампания UdangaSteal

В 2023 году и начале 2024 года наши эксперты следили за кампанией, которая развивалась по похожему сценарию: троянец HEUR:Trojan-Banker.AndroidOS.UdangaSteal перехватывал SMS-сообщения жителей Индонезии, Малайзии и Индии и передавал их содержимое на командный сервер через Telegram-бот. Злоумышленники активно атаковали пользователей из Индонезии и Индии, используя различные темы в качестве приманки, например:

• приглашение на свадьбу;
• доставка посылок;
• транзакции по кредитным картам;
• предложение должности в государственном учреждении;
• религиозные праздники;
• уплата годового налога;
• поддержка клиентов;
• оплата счетов за электричество;
• правительственные инициативы в сфере сельского хозяйства;
• регистрация транспортных средств в Индии.

Однако мы не относим атаки со стилером Tria к злоумышленникам, стоящим за UdangaSteal, поскольку между этими кампаниями есть существенные различия, в частности, используются разные шаблоны именования Telegram-ботов, не совпадает код вредоносных APK-файлов, а также территория их распространения. Кроме того, авторы Tria расширили возможности зловреда — его последние версии способны перехватывать не только SMS, но и сообщения, передаваемые через электронную почту и мессенджеры, такие как WhatsApp. В этом его отличие от UdangaSteal, создатели которого придерживались одной и той же тактики на протяжении двух лет.

Заключение

Стилер Tria продолжает атаковать пользователей из Малайзии и Брунея. Злоумышленники используют фишинг для распространения вредоносного APK-файла и в случае успешной атаки получают доступ к личным сообщениям и электронной почте жертвы. Мы выяснили, что злоумышленники используют украденные данные, чтобы перехватывать коды безопасности для взлома учетных записей WhatsApp и Telegram и последующего распространения вредоносного APK-файла среди контактов, найденных на устройстве жертвы. За счет доступа к кодам безопасности атакующие также могли захватывать учетные записи пользователей в различных онлайн-сервисах, таким образом нанося жертвам больший ущерб.

Мы полагаем со средней уверенностью, что злоумышленники продолжат атаковать пользователей из Малайзии и Брунея, взламывая учетные записи WhatsApp, Telegram и других сервисов и используя их для вредоносных действий. Чтобы защититься от подобных угроз, не устанавливайте приложения из недоверенных источников и используйте надежные решения для защиты мобильных устройств.

Индикаторы компрометации

Стилер Tria

Хэш-суммы файлов

Telegram-боты

Стилер UdangaSteal

Хэш-суммы файлов

daa30cd6699c187bb891448b89be1340
162ed054914a8c71ad02126693c40997
9698fa3e7e64272ff79c057e3b8be5d8
9a0147d4c9d6ed3be82825ce35fdb4ee
e4da1332303b93f11d40787f7a79b917
4ff2572a40300c0cce4327ec34259902

*Facebook принадлежит корпорации Meta, которая признана в России экстремистской организацией.