Թուրքիան, ՌԴ-ն, Հարավարևելյան Ասիան և Լատինական Ամերիկան տուժել են Android-ի համար սպառնալիքներից

«Կասպերսկի» ընկերության հետազոտողները վերլուծել են Android-ի համար վնասաբեր ԾԱ-ի երեք նոր վտանգավոր տարբերակ: Tambir, Dwphon և Gigabud վնասաբեր ծրագրերն ունեն բազմազան գործառույթներ՝ սկսած այլ ծրագրերի ներբեռնումից և հաշվառման տվյալների գողությունից մինչև երկգործոն նույնականացման (2FA) շրջանցումը և էկրանի տեսագրումը, ինչը վտանգում է օգտատերերի գաղտնիությունն ու անվտանգությունը:
Ընկերությունը հայտնում է, որ Tambir-ն Android-ի համար նախատեսված բեքդոր է, որը գրոհում է Թուրքիայի օգտատերերին։ Այն քողարկվում է որպես IPTV նվագարկիչ, բայց չի կատարում հայտարարված գործառույթները։ Իրականում դա լիարժեք լրտեսական ծրագիր է, որը, ի թիվս այլ բաների, գողանում է SMS հաղորդագրությունները և լրտեսում մուտքագրվող տեքստը:
Հավելվածը գործարկելիս էկրանին հայտնվում է մատչելիության հնարավորություններին հասանելիության թուրքերենով հարցում։ Ստանալով բոլոր անհրաժեշտ թույլտվությունները՝ ծրագիրն ստանում է հրամանների սերվերի հասցեն բաց աղբյուրից (օրինակ՝ Telegram-ից, ICQ-ից կամ X-ից), ինչից հետո հավելվածի պատկերակը փոխվում է YouTube-ի պատկերակի։
Tambir-ը կարող է կատարել ավելի քան 30 հրաման, օրինակ՝ միացնել և անջատել քեյլոգերի գործառույթը, գործարկել հավելվածներ, ուղարկել SMS հաղորդագրություններ և համար հավաքել:
2023-ի նոյեմբերին «Կասպերսկի» ընկերության փորձագետները հայտնաբերել են Android-ի համար նախատեսված վնասաբեր ԾԱ-ի ևս մեկ նմուշ, որը գրոհել է չինական OEM արտադրողների սարքերը: Նման սարքերի մեծ մասը վաճառվում է ռուսական շուկայում։ Ավելի վաղ այդ նույն վնասաբեր ծրագիրը հայտնաբերվել էր իսրայելական արտադրողի մանկական սմարթ-ժամացույցների հիմնածրագրում, դրանք տարածվում էին Եվրոպայում և Մերձավոր Արևելքի երկրներում:
Dwphon-ը քողարկվում է որպես հավելվածների թարմացման համակարգային բաղադրիչ և ունի Android-ի նախատեղադրված վնասաբեր ԾԱ-ի մի շարք նշաններ: Մասնավորապես, այս վնասաբեր ծրագիրը հավաքում է անձնական տվյալներ, ինչպես նաև տեղեկություններ սարքի և տեղադրված կողմնակի հավելվածների մասին։ Վարակման ճշգրիտ ուղին դեռ պարզ չէ, սակայն կասկած կա, որ վնասաբեր հավելվածը հիմնածրագիր է ներկառուցվել մատակարարումների շղթայի միջոցով հնարավոր գրոհի արդյունքում:
Gigabud-ն Android-ի համար հեռավար հասանելիության տրոյացի է (RAT), որն ակտիվ է առնվազն 2022-ի կեսերից, բայց առաջին անգամ հայտնաբերվել է միայն 2023-ի հունվարին: Սկզբում այն հավաքում էր Հարավարևելյան Ասիայի օգտատերերի բանկային տվյալները տեղական ավիաընկերության հավելվածի քողի տակ, այնուհետև այն հայտնվեց այլ երկրներում, այդ թվում՝ Պերուում, և սկսեց իրեն ներկայացնել որպես վարկ ստանալու հավելված:
Գոյություն ունեն տրոյացու մի քանի տարբերակներ, որոնք քողարկվում են Պերուի, Թաիլանդի և այլ երկրների տարբեր կազմակերպությունների պաշտոնական հավելվածներով: Վնասաբեր ծրագիրը գործարկելիս էկրանին հայտնվում է նմանակվող հավելվածի հաշիվ մուտք գործելու ձև։ Հաշվառման ստացված տվյալները սարքի մասին տեղեկատվության հետ միասին ուղարկվում են հրամանների սերվեր: Այնուհետև վիրտուալ ասիստենտն օգնում է օգտատիրոջը վարկ ստանալու հայտ ուղարկել:
Դրանից հետո հավելվածը խնդրում է օգտատիրոջը միացնել մատչելիության հնարավորությունները (եթե դրանք դեռ միացված չեն), որոնց միջոցով էլ այն գողանում է հաշվի տվյալները և հաջողությամբ շրջանցում երկգործոն նույնականացումը՝ նմանակելով հպման իրադարձությունները։