Google предупредила пользователей Казахстана о новом шпионском ПО

Пользователей смартфонов под управлением Android и iOS в Италии и Казахстане обманом заставили установить вредоносное приложение, которое крадет конфиденциальную информацию с устройства.

Ответственной стороной за распространение вредоносного ПО признана итальянская компания RCS Labs.

Отмечается, что жертва получает сообщение, в котором говорится, что доступ к ее учетной записи был утерян, а для восстановления необходимо перейти по ссылке, отправленной злоумышленниками. При переходе по ссылке жертву встречают поддельные сайты, имитирующие интерфейс популярных сервисов. Например, одна из таких ссылок вела на фейковый сайт Samsung, откуда необходимо было скачать «фирменное» приложение компании.

В случае, если пользователь использовал Android-устройство, на его смартфон загружался установочный apk-файл. Затем жертва выдавала разрешения программе для доступа к сети, учетным данным пользователя, контактам и внутренней памяти устройства.

Поскольку приложения для Android можно устанавливать не только из Google Play, злоумышленникам не нужно было убеждать жертв устанавливать специальный сертификат, как в случае с iPhone.

После установки сертификата, а также вредоносного приложения на iOS, шпионское ПО использует шесть различных системных эксплойтов для извлечения информации с устройства. При этом приложение было разбито на несколько частей, каждая из которых использовала определенный эксплойт. Так, например, четыре из них были написаны джейлбрейкерами и умели обходить проверку и получать полный доступ к системе.

Google внесла изменения в Google Play Protect и отключила некоторые проекты, используемые злоумышленниками. Аннулировала ли Apple сертификат мошенников, пока неизвестно.