Android-троян Mazar Bot поширюється через sms і mms-повідомлення

Експерти компанії Heimdal Security виявили нового шкідливого трояна, атакуючого пристрою на платформі Android. Цей троян не лише поширюється нестандартним способом: за допомогою SMS і MMS- повідомлень, але також здатен отримати root-доступ до пристрою, викрасти фінансову інформацію і видалити усі дані із смартфону жертви.

Android-троян Mazar BotДослідники називають спосіб поширення Mazar Bot унікальним. Дійсно, в наші дні мобільний троян в основному очікує жертв у сторонніх магазинах додатків (а іноді навіть в офіційному Google Play). Посилання на Mazar Bot, у свою чергу, розсилають в спам-повідомленнях: звичайних SMS і MMS. Перейшовши по такому посиланню, користувач скачує шкідливий файл APK, запуск якого ініціює установку шкідливого додатка.

У систему шкідник потрапляє під ім’ям MMS Messaging і просить права адміністратора, які довірливі жертви йому і надають.

mazar - bot

Після діставання root-привілеїв, Mazar Bot здатний на будь-що. У тому числі цей небезпечний додаток може:

  • читати або збирати дані про стан телефону;
  • заражати браузер Chrome;
  • змінювати налаштування пристрою;
  • примусово переводити пристрій в сплячий режим;
  • просити мережевий статус;
  • виходити в інтернет;
  • видаляти з пристрою усі дані.

Дослідники пишуть, що при цьому Mazar Bot  викачує і встановлює на уражений пристрій легітимний додаток Tor, який потім використовує для усіх виходів в мережу. В деяких випадках також використовується додаток Polipo proxy, яке піднімає на зараженому пристрої проксі, дозволяючи операторам вредоноса стежити за трафіком жертви і здійснювати man in the middle атаки.

Також після зараження облаштування вредонос відправляє повідомлення на іранський номер. Послання містить фразу “Thank you”. На ділі це повідомлення працює як маячок, тобто воно сигналізує операторам кампанії, що заражений новий гаджет і повідомляє його місце розташування.

Є у Mazar Bot  і ще одна цікава особливість: програма не встановлюється на пристрої, де основною системною мовою вибрана російська.

Дослідники пишуть, що це перший зафіксований випадок атак з використанням Mazar Bot, хоча уперше реклама малварі в даркнеті була помічена фахівцями Recorded Future ще у 2015 році.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*