Телефоните с Android отново са в прицел на киберпрестъпниците с появата на... ново семейство троянци, криещо се в манипулирани игри и приложенияТози зловреден софтуер се възползва от модифицирани версии на популярни заглавия и добре познати приложения, за да проникне в устройства и да ги използва за незаконни дейности без знанието на потребителя.
Изследователи от лабораторията за сигурност „Доктор Уеб“ са идентифицирали този зловреден код, който са нарекли Android.Phantom, троянски кон, способен да работи в различни режими според поръчките, които получава от отдалечен сървър. Основната му цел е да генерира печалби чрез измамни реклами и едновременно с това да добавя заразени мобилни телефони към инфраструктура за онлайн атаки и измами.
Какво е Android.Phantom и защо се крие в игрите?
Според експерти, Android.Phantom се разпространява предимно чрез игри и променени приложения Тези приложения се представят като подобрени или безплатни версии на популярни продукти. Потребителите ги инсталират с мисълта, че ще получат допълнителни предимства, но в действителност те внедряват троянски кон с разширени възможности на телефона или таблета си.
Този зловреден софтуер се откроява, защото Използва техники за машинно обучение чрез TensorFlowJSТова е рамка за изкуствен интелект, която работи в браузъра, за да автоматизира задачи в уеб страници, заредени във фонов режим. Тази комбинация от изкуствен интелект и скриптове за автоматизация прави злонамереното поведение по-гъвкаво и по-трудно за откриване.
Изборът на добре познати игри и приложения не е случаен: Киберпрестъпниците се възползват от доверието на потребителите и големия обем на изтегляния. които тези видове съдържание често съдържат. Освен това много хора търсят модифицирани версии (модове) извън официалните магазини, за да отключат платени функции или предимства в играта, което улеснява разпространението на троянския кон чрез ненаблюдавани канали.
Доктор Уеб подчертава това Заразените приложения често достигат до потребителя, маскирани като легитимни продукти.особено когато се разпространява чрез магазини на трети страни или алтернативни хранилищаЗаплахата често се появява в по-късни актуализации, така че дори някой, който първоначално е изтеглил чисто приложение, може да бъде компрометиран по-късно.
Два режима на работа: фантом и сигнализация
Изследователите са установили, че Android.Phantom може да работи в два различни режима в зависимост от инструкциите, които получава от външен сървър.Тази архитектура, базирана на командване и контрол, позволява на оператора да променя поведението на зловредния софтуер по всяко време.
В разговора В режим „призрак“, троянският кон зарежда уеб съдържание във фонов режим и извършва автоматизирани кликвания върху злонамерени рекламиЗа да постигне това, той комбинира скриптове за автоматизация с TensorFlowJS, което прави възможно симулирането на взаимодействието на реален потребител. Този фалшив трафик от кликвания генерира незаконни приходи за нападателите чрез рекламни мрежи.
Другият профил на употреба, наречен Режимът на сигнализация е предназначен за обмен на данни, аудио и видео в реално време. без потребителят да е необходимо да инсталира специфични програми за тази функция. По този начин компрометираното устройство може да се превърне в канал за непрозрачни комуникации или да бъде част от по-сложни инфраструктури за киберпрестъпления.
Тази двойна способност го прави Android.Phantom е особено универсален: може да действа като инструмент за рекламни измами, но също така и като платформа за координиране и подкрепа на други незаконни операции.Всичко това се управлява дистанционно, като командите се настройват според нуждите на операторите на троянския кон.
Използването на рамки за изкуствен интелект на самото устройство прави този зловреден софтуер пример за това как техниките за машинно обучение се включват в кампании за борба с киберпрестъплениятане само за подобряване на атаките, но и за опит за заобикаляне на традиционните механизми за откриване.
Незаконни дейности и рискове за потребителя
Освен рекламните измами, изследователите на Doctor Web предупреждават, че Устройства с Android, заразени с този троянски вирус, могат да бъдат използвани за стартиране разпределени атаки тип „отказ от услуга“ (DDoS)При този тип атака хиляди компрометирани компютри изпращат едновременен трафик към целта, за да я изключат от мрежата.
Троянският кон също може участват в различни форми на онлайн измами и масово изпращане на спамизползване на устройството на потребителя като очевиден източник на злонамерена дейност. Това не само вреди на жертвите на тези измами, но може да причини проблеми и на собственика на мобилния телефон, ако неговата линия или IP адрес са свързани с тези действия.
Друг от споменатите рискове е възможна кражба на информация, съхранявана на терминалаТова включва всичко - от лични данни до идентификационни данни, използвани в приложения и услуги. Въпреки че техническите подробности за всички функции за кражба на данни не са оповестени публично, възможността за комуникация в реално време с отдалечен сървър улеснява извличането на чувствителна информация.
Като цяло, Android.Phantom се държи така многофункционална заплаха, способна да генерира икономически ползи, да подкрепя киберпрестъпни кампании и да компрометира поверителността на потребителитеРеалното въздействие ще зависи от това как операторите, които контролират мрежата от заразени устройства, решат да я експлоатират.
Индикатори: батерия, мобилни данни и производителност
Въпреки че троянският кон се опитва да действа дискретно, Неговата активност оставя следи върху поведението на устройствотоЕдин от най-очевидните признаци е забележимото увеличение на консумацията на батерия, тъй като устройството остава активно във фонов режим, зарежда страници, изпълнява скриптове и поддържа връзки с отдалечени сървъри.
Специалистите също са наблюдавали значително увеличение на използването на мобилни данни и WiFi връзкиТова е следствие от непрекъснатия трафик, генериран от зловредния софтуер при зареждане на уеб съдържание и комуникация с инфраструктурата за командване и контрол.
В някои случаи потребителят може да забележи, че Телефонът се загрява повече от обикновено или работи по-бавноособено ако троянският кон постоянно изпълнява интензивни задачи. Тези симптоми обаче не винаги са непосредствено свързани с инфекция, така че проблемът може да остане незабелязан в продължение на седмици.
Ако тези фактори се сумират, Цената за потребителя може да бъде двойна: от една страна, влошаване на потребителското изживяване и, от друга, евентуални допълнителни разходи върху сметката за мобилни данни. ако договореният план има лимит от гигабайти или таксува за прекомерно потребление.
Откриване в игри от магазина на Xiaomi
Доктор Уеб е документирал това Някои от откритите инфекции са свързани с игри, достъпни на Магазин за приложения на XiaomiТези заглавия са били публикувани от разработчика Shenzhen Ruiren Network, който първоначално е качил легитимни версии, а в по-късна актуализация е въвел злонамерения код.
По този начин, Потребителите, които са изтеглили на пръв поглед безобидна игра, са открили, че последваща актуализация е включвала троянския кон Android.Phantom. без да се налага да инсталират ново приложение от нулата. Този тип стратегия усложнява откриването, тъй като разчита на доверието, генерирано от приложение, което вече е било на устройството.
Въпреки че предупреждението е фокусирано върху магазина на Xiaomi, Случаят илюстрира рисковете, свързани с алтернативни или производителни магазини за приложенияТези приложения понякога нямат същите филтри и контроли за сигурност като Google Play. За потребители в Испания и Европа, където вносните телефони или телефоните, закупени онлайн, са често срещани, този сценарий не е малко вероятен.
Властите и доставчиците на услуги за сигурност обикновено препоръчват това, Когато използвате магазини на трети страни, бъдете изключително внимателни и прегледайте информацията за разработчика и коментарите на други потребители.Въпреки това, дори тези мерки не са безпогрешни, ако проблемът е въведен чрез актуализации, които уж подобряват играта.
Модификация и разпространение на Spotify чрез Telegram
В допълнение към игрите, изследователите са установили, че Android.Phantom се разпространява и чрез модифицирана версия на Spotify. който обещаваше разширени функции и достъп до премиум функции, без да се плаща официалният абонамент.
Тази променена версия на музикалното приложение Разпространява се главно чрез Telegram канали и неофициални уебсайтовеТова са два много често срещани начина за споделяне на модифицирани APK файлове. Потребителите, привлечени от възможността за получаване на безплатни предимства, изтеглят и инсталират приложението, без да минават през официалния магазин.
Тъй като това е много популярна услуга в Испания и останалата част от Европа, Фалшивите версии на Spotify са особено ефективна примамкаМного потребители може да не са напълно наясно с риска, свързан с инсталирането на външен APK файл, особено когато той се препоръчва в привидно надеждни групи или канали.
Случаят с това манипулирано приложение подсилва посланието на Doctor Web, което Силно се препоръчва да не се изтеглят модифицирани APK файлове от уебсайтове или Telegram канали със съмнителен произход.Въпреки че привлекателността на допълнителните функции може да е изкушаваща, цената по отношение на сигурността може да бъде много висока.
Препоръки за сигурност за потребители на Android
В този сценарий експертите посочват няколко най-добри практики за намаляване на вероятността да станете жертва на троянски коне като Android.PhantomПървото и най-очевидно е винаги да давате приоритет на изтеглянето на приложения от Google Play или други официални магазини с по-строги системи за преглед.
Ако използвате магазини на производителя или алтернативни хранилища, е ключово Внимателно прегледайте разработчика, датата на последните актуализации и коментарите на други потребители.както и да се внимава с заглавия, които обещават непропорционални предимства или функции, които не съответстват на оригиналните версии.
Експертите също така подчертават важността на Поддържайте антивирусния софтуер актуализиран на устройствотоТова е особено вярно за мобилните телефони и таблети, които се използват ежедневно за достъп до онлайн банкиране, социални медии, имейл и други чувствителни услуги. Много решения за сигурност са способни да откриват аномално поведение, като това на Android.Phantom.
Друга основна препоръка е Бъдете внимателни с връзки и файлове, споделяни в Telegram канали, групи за съобщения или непознати уебсайтове.Особено когато предлагат безплатни „премиум“ версии на платени приложения или модове за популярни игри. Преди да инсталирате каквото и да е, е разумно да прецените дали предполагаемата полза надвишава риска.
Накрая, потребителите трябва да обърнат внимание на Симптоми като внезапно увеличение на консумацията на батерия, трафик на данни или необичайно загряване на устройствотоТези признаци не винаги означават инфекция, но са знак, че нещо може да не е наред и че си струва да се извърши анализ с надежден инструмент за сигурност.
Всичко сочи, че Android.Phantom ще се присъедини към списъка със сложни заплахи, насочени към мобилни устройства. използване на модифицирани игри и приложения като троянски кон за получаване на достъп до устройстваМежду рекламните измами, потенциалното участие в DDoS атаки и кражбата на данни, този троянски кон отразява степента, до която е препоръчително да се вземат изключителни предпазни мерки при инсталиране на софтуер на Android, и особено когато се влияете от „подобрени“ версии, разпространяващи се извън официалните канали.
