Компания ESET сообщает о выявлении трояна для Android, который может похищать данные для входа в разные онлайн-сервисы. В частности, вредоносное программное обеспечение распространяется под видом еще несуществующей Android-версии популярной программы для аудиочатов Clubhouse, вход в которую доступен только по приглашениям.

Эта угроза под названием BlackRock может похищать данные для входа приблизительно в 460 онлайн-сервисов. Троян для Android нацеливается на известные финансовые программы, приложения для шопинга, криптовалютные биржи, а также социальные сети и платформы для обмена сообщениями. Среди таких программ оказались Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA и Lloyds Bank.

По словам Лукаша Стефанко, исследователь компании ESETСайт трудно отличить от настоящего, поскольку он выглядит как качественная копия легитимного сайта Clubhouse. Как только пользователь нажимает «Загрузить с Google Play», приложение автоматически загружается на устройство пользователя. Стоит отметить, что легитимные веб-сайты всегда перенаправляют пользователя в Google Play, а не предлагают сразу загрузить программу.

Еще до момента нажатия кнопки можно заметить признаки вредоносной активности, в частности, опасное соединение HTTP вместо HTTPS и наличие домена «.mobi», а не «.com», который, как правило, используется легитимной программой (рис. 1). Также стоит помнить, что, хотя Clubhouse действительно планирует вскоре запустить версию своего приложения для Android, пока платформа остается доступной только для пользователей iPhone!

После загрузки BlackRock пытается похитить учетные данные жертвы, используя атаку с наложением вредоносных окон. Таким образом каждый раз при запуске приложения угроза отображает окно для входа в систему, идентичное настоящей программе. Но вместо входа в систему пользователь передает свои учетные данные киберпреступникам.

В этом случае двухфакторная аутентификация с использованием SMS-сообщений не защитит от несанкционированного доступа, поскольку троян для Android также может перехватывать текстовые сообщения. Вредоносное приложение также просит жертву предоставить определенный доступ, таким образом позволяя злоумышленникам получить контроль над устройством.

Кроме этого, имя загруженной программы «Install» вместо «Clubhouse» должно сразу вызвать подозрение. «Авторы вредоносных программ не приложили необходимых усилий для маскировки приложения. Однако позже могут появиться киберпреступники с более изощренными методами обмана пользователей», — предупреждает Лукаш Стефанко.

Для минимизации рисков заражения угрозами, подобными к трояну для Android, специалисты ESET настоятельно рекомендуют пользователям соблюдать правила безопасности в Сети. Прежде всего, нужно загружать приложения на мобильное устройство только из официальных магазинов, контролировать разрешения, которые предоставляются приложениям, своевременно обновлять ОС и применять программные или аппаратные генераторы одноразовых паролей (OTP) вместо SMS. Также перед загрузкой программы рекомендуется поискать информацию о ее разработчике, кроме того, всегда использовать надежное решение для защиты мобильных устройств Android.