Исследователи из компании ThreatFabric рассказали о новой вишинговой схеме (англ. vishing, от voice phishing — «голосовой фишинг»), в рамках которой злоумышленники обманом вынуждают жертв установить малварь для Android на свои устройства.
Эксперты обнаружили сеть фишинговых сайтов, нацеленных на пользователей итальянских банков. По сути, эти ресурсы предназначенных для выманивания контактных данных жертв. Затем собранная информация используется в вишинговых или телефонно-ориентированных атаках, то есть злоумышленники звонят жертвам, используя данные с мошеннических сайтов.
Как правило, звонящий выдает себя за сотрудника службы поддержки банка и инструктирует человека на другом конце провода установить «защитное приложение» и предоставить ему все нужные разрешения. На самом деле это приложение представляет собой малварь, предназначенную для получения удаленного доступа к устройству или совершения финансовго мошенничества.
В кампании, которую описывают исследователи, мошенники распространяют малварь, получившую имя Copybara. Это мобильный троян, впервые обнаруженный еще в ноябре 2021 года, который используется в основном для оверлейных атак, нацеленных на итальянских пользователей. Эксперты отмечают, что Copybara часто путают с другим похожим семейством вредоносных программ, известным как BRATA.
По информации ThreatFabric, кампания по распространению Copybara длится уже около года.
Как и многие другие вредоносы для Android, RAT Copybara полагается на злоупотребление API Accessibility services для сбора конфиденциальной информации и даже удаления приложения-загрузчика, чтобы замести следы.
Кроме того, аналитики заметили, что малварь доставляет на устройство жертвы еще одного вредоноса, SMS Spy, который позволяет злоумышленникам получать доступ ко всем входящим SMS-сообщениям и перехватывать одноразовые пароли, отправляемые банками.
Эксперты пишут, что в целом такие атаки более сложны для злоумышленников с точки зрения выполнения и поддержки, однако они становятся все популярнее, наряду с классическими дропперами в Google Play Store, мошеннической рекламой и SMS-фишингом.
