В современном цифровом мире мобильные устройства стали неотъемлемой частью жизни миллионов пользователей, особенно в странах Азии, где скорость распространения мобильных технологий стремительно растет. Вместе с этим растет и число кибератак, направленных на уязвимости мобильных сетей и самих пользователей. Один из эффективных методов, который используют злоумышленники, — распространение поддельных приложений, способных украсть конфиденциальные данные и угрожать жертвам шантажом. Об этом свидетельствует масштабная кампания, известная под кодовым названием SarangTrap, выявленная исследователями компании Zimperium zLabs. SarangTrap представляет собой многоуровневую угрозу, нацеленную на пользователей Android и iOS, главным образом в Южной Корее и некоторых других азиатских странах.
Злоумышленники создают и распространяют сотни поддельных приложений, маскирующихся под популярные сервисы знакомств, социальные сети, облачные хранилища и даже сервисы по аренде автомобилей. Эти приложения тщательно сверены с реальными, а их распространение осуществляется через поддельные домены, которые имитируют страницы официальных сайтов магазинов приложений. Такой подход позволяет эффективно обмануть пользователей, заставляя их скачивать вредоносное ПО под видом легитимных сервисов. По установке, Android-приложения запрашивают у пользователей ввод кода приглашения. Этот код проверяется на командном сервере, и лишь после этого приложение активирует злонамеренные функции.
Такой механизм очень хитроумный, поскольку позволяет избежать обнаружения при автоматическом анализе и антивирусных сканированиях. Разрешения, которые запрашивают приложения, не вызывают подозрений — им необходим доступ к SMS, контактам, файлам и другим данным якобы для предоставления обещанных сервисов. Но на самом деле эти данные незаметно передаются преступникам. Пользователи iOS сталкиваются с другой формой заражения: им предлагается установить мобильный конфигурационный профиль, который позволяет скрытно устанавливать вредоносные приложения и собирать информацию с устройства, включая контакты, фотографии и содержимое библиотеки. Такая схема сложнее обнаруживается даже технически подкованными пользователями.
Вредоносные программы развиваются, их варианты постоянно появляются, что свидетельствует о непрерывной работе киберпреступников над совершенствованием инструментов. Особо тревожным аспектом кампании является применение психологического давления — злоумышленники шантажируют жертв, угрожая обнародовать личные видеозаписи и компрометирующие материалы, что приводит к циклу постоянного контроля и запугивания. Помимо SarangTrap, в регионе была обнаружена и другая масштабная кампания с более чем 600 поддельными китайскоязычными доменами, распространяющая APK-файлы, маскирующиеся под приложение Telegram. Вредоносное ПО умеет выполнять удаленные команды в реальном времени, обеспечивая кражу данных и управление устройствами жертв с помощью уязвимости Janus, существующей в Android 5.0-8.
0. Она позволяет злоумышленникам модифицировать подпись приложений так, чтобы изменения оставались незамеченными при установке. Тактика имитации популярных сервисов отлично себя зарекомендовала в атаке на пользователей из Индии и бенгальскоязычных сообществ, проживающих в таких странах, как Саудовская Аравия, Малайзия и ОАЭ. Преступники создают фальшивые финансовые приложения и сайты, имитирующие банковские услуги, где пользователи вводят личные данные, карты и реквизиты, считая, что совершают настоящие транзакции. В итоге данные попадают к злоумышленникам, а реальные операции не проводятся, что делает преступления практически незаметными.
Особой угрозой стал банковский троян RedHook, активный во Вьетнаме. Он сочетает функции кейлоггера и удаленного доступа, собирая пароли и данные для финансового мошенничества. Троян использует легитимные Android-API, включая службы доступности, чтобы выполнять атаки типа overlay и захватывать экранное содержимое без ведома пользователя. Этот инструмент обладает расширенным функционалом, поддерживающим десятки удаленных команд и полностью контролирующим зараженное устройство. Существует версия, что авторами RedHook могут быть представители китайскоязычных хакерских групп, что подтверждается элементами кода и месседжами.
Распространение вредоносных приложений в Азии обусловлено широкой доступностью инструментов для киберпреступников, среди которых — сервисы Malware-as-a-Service (MaaS) с подпиской и готовыми возможностями для обхода защиты, перехвата двухфакторной авторизации, скрытой установки приложений и GPS-мониторинга. Такие платформы предоставляют полный комплекс поддержки и инфраструктуры, включая каналы связи через Telegram и механизмы обхода Google Play Protect. Появились и специализированные инструменты для массового заражения устройств через сканирование открытых портов Android Debug Bridge и последующую установку вредоносного ПО без ведома пользователя. Интересный тренд — торговля уже скомпрометированными Android-устройствами через так называемые install marketplaces. Это значительно упрощает деятельность киберпреступников: им больше не нужно распространять вредоносные приложения самостоятельно, достаточно арендовать или купить доступ к целым ботнетам с заражёнными девайсами.
Такие рынки предлагают устройства, поражённые различными банковскими троянами, в зависимости от страны и других параметров. Защититься от таких угроз можно, проявляя особую осторожность при установке приложений. Следует избегать загрузки ПО из непроверенных источников и сторонних магазинов приложений, внимательно проверять запрашиваемые разрешения, особенно если приложение требует доступ к SMS или контактам без видимой необходимости. Важно регулярно проверять установленные профили и удалять подозрительные. Осознанность пользователей и своевременное обновление операционных систем и антивирусных решений значительно снижают риски компрометации.
Несмотря на неуклонное развитие технологий и рост защищенности мобильных платформ, киберпреступники постоянно адаптируют свои методы, используя психологические приемы и социальную инженерию для обмана даже опытных пользователей. Культура цифровой безопасности в странах Азии требует постоянного внимания и повышения осведомленности, ведь защита персональных данных и конфиденциальности — это не только техническая задача, но и вопрос выживания в цифровую эпоху.
