„კასპერსკის ლაბორატორიის“ მკვლევარებმა გააანალიზეს ანდროიდის მავნე პროგრამის სამი ახალი საშიში ვარიანტი. მავნე პროგრამებს Tambir, Dwphon და Gigabud აქვთ ფუნქციები, რაც ამოიხატება სხვა პროგრამების ჩამოტვირთვაში, სერთიფიკატების მოპარვაშიით, ორფაქტორიანი ავთენტიფიკაციის (2FA) გვერდის ავლაში და ეკრანის ჩანაწერებამდე შეღწევაშიც კი, რაც არღვევს მომხმარებლების კონფიდენციალურობას და უსაფრთხოებას.
კომპანია იტყობინება, რომ Tambir არის ანდროიდის უკანა კარი, რომელიც თავს ესხმის მომხმარებლებს თურქეთში. ის ინიღბება IPTV-პლეერად, მაგრამ არ ასრულებს თავის მითითებულ ფუნქციებს. სინამდვილეში, ეს არის სრულფასოვანი ჯაშუშური პროგრამა, რომელიც, სხვა საკითხებთან ერთად, იპარავს SMS შეტყობინებებს და აკონტროლებს აკრეფილ ტექსტს.
აპლიკაციის გაშვებისას ეკრანზე გამოჩნდება მოთხოვნა თურქულ ენაზე სპეციალურ ფუნქციებზე წვდომისთვის. ყველა საჭირო ნებართვის მიღების შემდეგ, პროგრამა იღებს ბრძანების სერვერის მისამართს ღია წყაროდან (მაგალითად, Telegram, ICQ ან X), რის შემდეგაც აპლიკაციის გამოსახულება იცვლება YouTube გამოსახულებით.
Tambir-ს შეუძლია შეასრულოს 30-ზე მეტი ბრძანება, როგორიცაა keylogger-ის ფუნქციის ჩართვა და გამორთვა, აპლიკაციების გაშვება, SMS შეტყობინებების გაგზავნა და ნომრის აკრეფა.
2023 წლის ნოემბერში „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს Android-ისათვოს ვნების მომტანი მავნე პროგრამის კიდევ ერთი ნიმუში, რომელმაც განახორციელა შეტევა ჩინურ ორგინალურ მოწყობილობათა მწარმოებლებზე. ამ მოწყობილობების უმეტესობა იყიდება რუსეთის ბაზარზე. ადრე, იგივე მავნე პროგრამა აღმოაჩინეს ბავშვთა ჭკვიანი საათების ისრაელელი მწარმოებლის პროგრამულ უზრუნველყოფაში, რომლებიც შემდეგ გავრცელდნენ ევროპასა და ახლო აღმოსავლეთში.
Dwphon თავს აფარებს აპლიკაციების განახლების სისტემურ კომპონენტებს და აქვს წინასწარ დაინსტალირებული Android-ის მავნე პროგრამების მთელი რიგი მახასიათებლები. კერძოდ, ეს მავნე პროგრამა აგროვებს პერსონალურ მონაცემებს, ასევე ინფორმაციას მოწყობილობისა და დაინსტალირებული მესამე მხარის აპლიკაციების შესახებ. ინფექციის ზუსტი მარშრუტი ჯერ არ არის ნათელი, მაგრამ არსებობს ეჭვი, რომ მავნე აპლიკაცია ჩაშენებული იყო firmware-ში შესაძლო მიწოდების ჯაჭვის შეტევის შედეგად.
Gigabud არის დისტანციური წვდომის ტროა (RAT) ანდროიდისთვის, რომელიც გააქტიურდა მინიმუმ 2022 წლის შუა რიცხვებიდან, მაგრამ პირველად აღმოაჩინეს მხოლოდ 2023 წლის იანვარში. მან ჯერ შეაგროვა სამხრეთ-აღმოსავლეთ აზიის მომხმარებლების საბანკო მონაცემები ადგილობრივი ავიაკომპანიის აპლიკაციის საფარქვეშ, შემდეგ ის გამოჩნდა სხვა ქვეყნებში, მათ შორის პერუში და დაიწყო თავის გამოვლენა სესხის აპის სახით.
არსებობს ტროას რამდენიმე ვარიანტი, რომლებიც შენიღბულია სხვადასხვა ორგანიზაციის ოფიციალურ აპლიკაციებად პერუდან, ტაილანდიდან და სხვა ქვეყნებიდან. როდესაც მავნე პროგრამა გაშვებულია, ეკრანზე გამოჩნდება ფორმა სიმულირებული აპლიკაციის ანგარიშში შესვლისთვის. მიღებული სერთიფიკატები იგზავნება ბრძანებისა და მართვის სერვერზე მოწყობილობის ინფორმაციასთან ერთად. შემდეგ ვირტუალური ასისტენტი ეხმარება მომხმარებელს სესხის განაცხადის წარდგენაში.
შემდეგ აპლიკაცია სთხოვს მომხმარებელს ჩართოს ხელმისაწვდომობის ფუნქციები (თუ ისინი ჯერ არ არიან ჩართულნი), რომლის მეშვეობითაც ის იპარავს ანგარიშებს და წარმატებით გვერდს უვლის ორფაქტორიან ავთენტიფიკაციას სენსორული მოვლენების სიმულაციის გზით.
დაწვრლებით ამ მავვნებლის შესახებ ნახეთ აქ:https://securelist.com/crimeware-report-android-malware/112121/.
