У світі з’явилося нове шкідливе програмне забезпечення для Android під назвою Wonderland, спрямоване на викрадання банківських даних користувачів. Про це попередили аналітики з Group-IB.
За попередніми даними, за його розповсюдженням стоїть угруповання TrickyWonders, що здійснює свою діяльність через Telegram.
Принцип роботи Wonderland та складнощі його виявлення
За словами спеціалістів, це шкідливе ПЗ відрізняється новою тактикою у порівнянні зі старими схемами, де користувачі мали самостійно встановлювати підозрілі APK-файли. Зловмисники тепер вбудовують шкідливий код у на вигляд звичайні програми, які виступають у ролі “дропперів”.
Після встановлення програми на пристрої з’являється повідомлення про нібито необхідне оновлення. Під виглядом цього “апдейту” на смартфон потрапляє основний шкідливий компонент. Окрім іншого, як зазначають експерти, зараження можливе навіть за відсутності активного доступу до інтернету – вірусний код може бути прихований у звичайних зображеннях або маскуватися під сервіси Google Play.
Після активації Wonderland отримує доступ до SMS-повідомлень. Це дозволяє йому перехоплювати OTP-коди та одноразові паролі, які використовують банківські додатки. Крім того, програма здатна виконувати USSD-команди, що дає змогу зловмисникам дистанційно контролювати дії на пристрої: перевіряти баланс і здійснювати грошові перекази.
Group-IB зазначає, що схема розповсюдження Wonderland чітко налагоджена, нагадуючи організований “кримінальний бізнес”. У цій мережі розробники ПЗ, розповсюджувачі та ті, хто займається виведенням коштів, мають поділені ролі.
Щоб мінімізувати ризик зараження, експерти рекомендують завантажувати програми виключно через офіційний магазин Google Play, обережно реагувати на запити щодо оновлень у сторонніх програмах, а також ретельно перевіряти дозволи, особливо ті, що стосуються доступу до SMS чи спеціальних можливостей. Крім того, експерти радять використовувати надійне антивірусне програмне забезпечення для мобільних пристроїв.
