«Лаборатория Касперского» обнаружила вредоносное программное обеспечение (ВПО), распространяемое через фишинговые страницы, оформленные под видом магазина приложений Google Play. Злоумышленники маскируют его под официальное приложение Starlink для Android, тогда как на самом деле программа скрытно использует ресурсы смартфона для майнинга криптовалюты Monero, сообщает PCMag.
Главной мишенью атаки являются бразильские пользователи — жители страны, где количество абонентов Starlink превышает миллион. Примечательно, что это ШПЗ не является принципиально новым. Сначала он распространялся под видом приложения бразильской системы социального обеспечения, а затем злоумышленники переделали его под Starlink. При установке программа имитирует загрузку обновления — эта мера позволяет получить системные разрешения, без которых полноценная атака невозможна.
Получив необходимый доступ, ШПЗ разворачивает сразу два компонента. Первый — майнер Monero, работающий в фоновом режиме и потребляющий вычислительные ресурсы устройства. Второй — троянская программа, которая предоставляет злоумышленнику широкие возможности удаленного контроля, в частности доступ к камерам, перехват PIN-кодов, графических ключей и паролей.
Представитель «Лаборатории Касперского» уточнил, что ШПЗ применяет разрешение REQUEST_INSTALL_PACKAGES для установки APK-файлов, минуя Google Play. Отдельного внимания заслуживает одна техническая особенность — программа воспроизводит почти неслышный аудиофайл в непрерывном цикле, прервать который невозможно. Именно поэтому она и получила название BeatBanker.
Подписывайтесь на Mediasat в Telegram: здесь самые интересные новости из мира технологий
Защита от подобных угроз сводится к базовым правилам цифровой гигиены — загрузка программ только из официальных магазинов и отказ от приложений неизвестных разработчиков.
