Мошенники внедрили на Google Play бизнес по перепродаже бесплатного приложения Adobe под видом плагина для воспроизведения мультимедийного контента. Об этом сообщают эксперты ESET.
Как мошенники и шпионы используют Google Play, Yandex и Twitter
В отличие от мобильных банкеров, программ-вымогателей и другого вредрносного ПО, замаскированного под легитимный софт, приложение F11 не имело вредоносных функций.
Мошенники действовали исключительно методами социальной инженерии, убеждая пользователей заплатить 18 евро (или 19 долларов) за изначально бесплатную программу. Статистика загрузок F11 указывает на успешность «бизнеса» – с ноября 2016 года приложение скачали до 500 000 пользователей.
После загрузки с Google Play приложение выводит на экран инструкции по установке и оплате через PayPal. Мошенники дополнительно предлагают установить мобильный браузер Firefox или Dolphin – эти браузеры поддерживают Flash Player по умолчанию.
По данным ESET, в данный момент приложение F11 удалено из Google Play.
В свою очередь эксперты компании Talos заявили, что облачные сервисы «Яндекса» и Twitter используются для хостинга вредоносных командных серверов и передачи данных недавно обнаруженной вредоносной программой Rokrat, используемой в шпионских целях, сообщает CNews.
Rokrat представляет собой вредоносный инструмент удаленного администрирования (Remote Administration Tool — RAT), который используется в новой кампании, направленной против пользователей из Южной Кореи.
Атака на пользователей начинается с рассылки фишинговых писем с вложенными документами в формате HWP. Это формат крайне популярного в Южной Корее текстового редактора Hangul, поддерживающего корейский алфавит.
Для связи зараженных ПК с командной инфраструктурой Rokrat использует ресурсы известных глобальных сервисов. В частности, исследователи обнаружили семь «зашитых» в код трояна API-токенов Twitter, четыре токена «Яндекса» и один аккаунт хостингового сервиса Mediafire.
Twitter используется для хостинга командного сервера и получения Rokrat команд от своих операторов. Серверы Яндекс и Mediafire — как для хостинга командных серверов, так и для передачи данных.
Ранее сообщалось о том, что злоумышленники рассылают электронные письма от имени Госфискальной службы с просьбой уплатить налоги.
Комментарии