Кибермошенники не дремлют

Старая схема. Как приложение в Google Play деньги похищало

ESET обнаружила банковский троян в Google Play. Приложение DEFENSOR ID находилось в разделе «Образование».

Приложение обещало повысить безопасность пользователя при помощи сквозного шифрования. На самом деле оно запрашивало несколько критически значимых разрешений, среди которых было изменение системных настроек.

DEFENSOR ID получало возможность читать текст в любом приложении и отправляло его злоумышленникам. Это могли быть СМС, данные для входа в учетные записи и коды двухфакторной аутентификации. Таким образом хакеры получали доступ к аккаунтам онлайн-банков, социальных сетей и почтовым ящикам жертвы.

Вместе с DEFENSOR ID эксперты ESET обнаружили еще одно вредоносное приложение — Defensor Digital. Обе программы использовали один и тот же C&C-сервер. В настоящее время приложения уже удалены из Google Play.

Вне сети. Вредонос Ramsay похищает данные без интернета

ESET обнаружила новый вредонос для кибершпионажа — Ramsay. Он похищает конфиденциальную информацию из систем, не подключенных к интернету. Его разработчикам интересны объекты интеллектуальной собственности и документы, содержащие коммерческую тайну.

Ramsay сканирует устройство, а затем собирает и хранит данные, ожидая возможности извлечь их из закрытой системы и передать вовне.

Малварь постепенно совершенствуется — на сегодняшний день выявлены три версии зловреда. В последней из них преступники используют продвинутые технологии защиты от обнаружения, что делает Ramsay еще более опасным.

По данным ESET, зафиксировано несколько путей заражения: эксплойт старых уязвимостей Microsoft Word с 2017 года, инфицированные флэшки и фишинг.

Ramsay имеет сходство с вредоносом Retro, разработанным южнокорейской преступной группировкой DarkHotel. Более точные данные о его происхождении на данный момент отсутствуют.