Этот вредоносный Android-программный продукт запускается автоматически и может украсть конфиденциальные данные

Исследователи в области кибербезопасности из McAfee обнаружили, что обновленная версия вредоносного ПО для Android, XLoader, может автоматически запускаться на зараженных смартфонах Android после установки без необходимости взаимодействия с пользователем.

XLoader, также известный как MoqHao, является разновидностью вредоносного ПО, вероятно созданного финансово мотивированным злоумышленником под названием «Roaming Mantis».

Это вредоносное ПО в основном распространяется через сокращенные URL-ссылки в текстовых сообщениях на устройствах Android, которые, при нажатии, перенаправляют вас на веб-сайт для загрузки файла установки APK для мобильного приложения.

Это позволяет вредоносному ПО работать в фоновом режиме и извлекать личную и частную информацию из скомпрометированных устройств, включая метаданные устройства, фотографии, текстовые сообщения, списки контактов, звонки на определенные номера в беззвучном режиме и потенциально банковскую информацию, среди прочего.

«Типичный MoqHao требует от пользователей установки и запуска приложения для достижения своей цели, но этот новый вариант не требует выполнения. Пока приложение установлено, их вредоносная активность начинается автоматически», — объясняет McAfee, партнер Альянса защиты приложений Android, в отчете, опубликованном на этой неделе.

«Мы уже сообщили об этой технике в Google, и они уже работают над внедрением мер по предотвращению такого типа автоматического выполнения в будущей версии Android».

Чтобы обмануть пользователя, вредоносное ПО маскируется под легитимное приложение, часто притворяясь веб-браузером Google Chrome. Оно использует строки Unicode в названиях приложений для обфускации, что затем позволяет ему запрашивать рискованные разрешения на устройстве, такие как отправка и доступ к содержимому SMS, а также всегда работать в фоновом режиме, добавляя исключение из оптимизации батареи Android.

Кроме того, поддельное приложение Chrome также спрашивает пользователей, хотят ли они установить его в качестве приложения по умолчанию для SMS под предлогом, что это поможет предотвратить спам.

Кроме того, вредоносное ПО также использует фишинговые сообщения, содержание которых извлекается из поля био (или описания) из мошеннических профилей Pinterest, которые затем отправляются на зараженные смартфоны, чтобы избежать обнаружения антивирусным программным обеспечением.

Если вредоносное ПО не может получить доступ к Pinterest, оно использует жестко закодированные фишинговые сообщения, которые уведомляют потенциальные жертвы о том, что с их банковским счетом что-то не так, и им необходимо немедленно предпринять действия.

Исследователи McAfee отметили, что некоторые вредоносные всплывающие сообщения, запрашивающие разрешения, отображались на английском, корейском, французском, японском, немецком и хинди, что также указывает на текущие цели XLoader. Они считают, что, помимо Японии, вредоносное ПО также нацелено на пользователей Android в Южной Корее, Франции, Германии и Индии.

Чтобы защититься от вредоносного ПО XLoader, пользователям рекомендуется не устанавливать приложения из неизвестных источников и не открывать короткие URL-ссылки в текстовых сообщениях, а также быть очень осторожными при предоставлении разрешений приложениям, которые они устанавливают. Также ограничьте количество приложений, установленных на вашем Android-телефоне, и устанавливайте приложения только от надежных разработчиков.

Кроме того, включите Google Play Protect на своем смартфоне Android, чтобы он мог сканировать все ваши текущие приложения и любые новые приложения, которые вы загружаете, на наличие вредоносного ПО.

Также рассмотрите возможность установки дополнительного антивирусного программного обеспечения для Android для повышения безопасности.