Пользователей Android атакуют шпионы, выдающие RAT-трояна за мессенджер

Татьяна Никитина 11 Апреля 2024 - 15:18

...

Пользователей Android атакуют шпионы, выдающие RAT-трояна за мессенджер

Эксперты ESET выявили шпионскую кампанию, в рамках которой на Android-устройства устанавливается троянизированный мессенджер. Вредоносы раздаются с поддельных сайтов, иногда с Google Play; целевые атаки с кодовым именем eXotic Visit уже собрали 380 жертв.

Расследование показало, что текущая киберкампания была запущена как минимум в ноябре 2021 года. Признаков связи с какой-либо известной группировкой не обнаружено, поэтому новоявленных шпионов было решено идентифицировать как Virtual Invaders.

Используемые ими зараженные приложения сохранили свою функциональность, но содержат код opensource-инструмента удаленного администрирования XploitSPY. Обнаружены вредоносные модификации Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger, Zaangi Chat.

Иногда шпионский софт раздается под видом других программ: Sim Info, Telco DB (обе определяют владельцев симок по телефонным номерам Пакистана), пакистанского сервиса заказа еды Shah jee Foods, приложения для записи к специалистам индийского Trilife Hospital (ранее Specialist Hospital).

Замаскированного таким образом XploitSPY суммарно скачали и активировали около 380 пользователей Android. Проникшие в Google Play репаки собрали мало загрузок (от 0 до 45) и уже удалены.

Код XploitSPY был выложен на GitHub в апреле 2020 года юзером, связанным с индийской ИБ-компанией XploitWizer. Согласно описанию, это форк трояна L3MON, созданного на основе AhMyth.

Вредонос обладает обширным набором функций:

сбор конфиденциальных данных с Android-устройства (местоположение, список контактов, журнал звонков, СМС-сообщения, записи с микрофона);
просмотр списка установленных приложений;
извлечение информации из уведомлений WhatsApp, Gmail, софта соцсетей;
составление списка файлов в папках фотоальбома, загрузок, WhatApp и Telegram;
загрузка и выгрузка файлов;
фотоснимки с помощью встроенной камеры.

В ходе eXotic Visit троянский код постоянно совершенствовался: появились обфускация, возможность обнаруживать эмуляторы, маскировка C2-адресов. В настоящее время XploitSPY скрывает свои центры управления с помощью нативной библиотеки defcome-lib.so, а при запуске на эмуляторе обращается к фальшивому C2.

Сайты, специально созданные для распространения зловреда, содержат ссылку на APK-файл на GitHub. Каким образом туда заманивают визитеров, не установлено.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 20 Мая 2024 - 20:46

Домашние пользователи Google

Google AI быстро разочаровал пользователей, как его отключить

Люди стали жаловаться на новую функцию поиска Google под названием «AI Overview». Фича на основе ИИ часто выдаёт некорректные результаты поиска, а пользователям не удаётся её отключить.

Функция AI Overviews недавно была представлена на конференции Google I/O. Она анализирует веб-страницы и обобщает запрашиваемый контент. В компании утверждают, что обзоры ИИ появляются только в тех случаях, когда поисковая система считает, что они полезнее традиционных веб-ссылок.

При запросе в поисковике, система искусственного интеллекта ищет подходящий контент на различных сайтах и пересказывает его своими словами. Например, если спросить, как установить последнее обновление Windows 11, то выйдет такой результат:

Пример работы Google AI Overviews

Источник: BleepingComputer

Эта функция в теории может быть полезной, но люди рассказывают о задержке при регенерации ответа и жалуются на повторяющуюся или неверную информацию. Google внедрила фичу для всех жителей США вне зависимости от их желания.

Пользователи спрашивают, как отключить Google AI

Источник: BleepingComputer

Люди на форумах негативно отзываются о Google AI Overviews и просят помочь отключить эту ненужную и вводящую в заблуждение фичу.

Сейчас функция перестала быть экспериментальной, а отключить её невозможно.

Недавно Google представила новую опцию под названием «web», чтобы вернуть прежний вид поисковика и избежать обзоры ИИ.

Пользователи могут заставить Google всегда показывать результаты веб-поиска без резюме искусственного интеллекта, видео, изображений и других поисковых функций. Для этого нужно запустить фильтр «web» следующим образом:

Открыть Google Chrome, нажать на меню с тремя точками в правом верхнем углу и выбрать пункт «Настройки».
Прокрутить страницу вниз до раздела «Поисковая система» и нажать «Управление поисковыми системами и поиском по сайту».
Нажать кнопку «Добавить» рядом с пунктом «Поиск по сайту».
В диалоговом окне «Добавить поисковую систему» ввести название поисковой системы (например, «Google Web»). В качестве ярлыка введите ключевое слово, чтобы быстро использовать эту поисковую систему из адресной строки (например, «Web»).

Изменить URL на {google:baseURL}/search?udm=14&q=%s.
Нажать кнопку «Добавить».
Нажать на меню с тремя точками рядом с новой созданной поисковой системой и выбрать «Сделать по умолчанию».

Теперь при запросе в адресной строке Google Chrome будет использовать новую функцию веб-поиска Google по умолчанию.

Пользователи, которые не хотят менять настройки вручную, могут установить расширение Google Chrome под названием «Hide AI Overviews», которое тоже скроет обзоры ИИ. Для включения этой фичи на мобильных устройствах понадобится Firefox.

Чтобы вернуться к прежней версии, нужно зайти в настройки и установить Google в качестве поисковой системы по умолчанию.