Group-IB сообщает об активности банковского трояна Gigabud RAT, который атакует пользователей Android (в основном в Таиланде, Индонезии, Вьетнаме, Перу и на Филиппинах).
Впервые Gigabud RAT был впервые замечен специалистами компании Cyble в январе 2023 года. Исследователи предупреждали, что малварь существует с середины 2022 года и выдает себя за банковские и государственные приложения, воруя конфиденциальную информацию.
Как теперь рассказывают эксперты Group-IB, Gigabud RAT не выполняет никаких вредоносных действий на устройстве, пока пользователь не авторизуется в мошенническом приложении, что затрудняет обнаружение банкера.
«Вместо использования атак с HTML-оверлеями, Gigabud RAT в основном собирает конфиденциальную информацию посредством записи экрана», — говорят специалисты.
Также компания обнаружила второй вариант вредоносного ПО без возможностей RAT. Этот вредонос, получивший название Gigabud.Loan, представляет собой фейковое приложение для получения кредита, способное воровать данные, вводимые пользователем.
«Целью являются люди, которых обманом заманивают для заполнения анкеты на банковскую карту с целью получения кредита под низкий процент. Жертв убеждают предоставить личную информацию в процессе подачи заявки», — рассказывают исследователи.
Обе версии малвари распространяются через фишинговые сайты, ссылки на которые доставляют жертвам посредством SMS или сообщений в социальных сетях. Gigabud.Loan также распространяется напрямую в виде APK-файлов, которые злоумышленники присылают жертвам в WhatsApp.
Хотя на многих Android-устройствах по умолчанию отключена установка приложений из неизвестных источников, ОС позволяет другим установленным на устройстве приложениям (браузерам, почтовым клиентам, файловым менеджерам, приложения для обмена сообщениями и так далее) запрашивать разрешение REQUEST_INSTALL_PACKAGES. Если пользователь предоставляет разрешение таким приложениям, это позволяет мошенникам устанавливать мошеннические APK-файлы, минуя разрешение на установку приложений из неизвестных источников.
В целом работа Gigabud аналогична другим банковским троянам для Android: он запрашивает разрешение на доступ к Accessibility services для захвата экрана и перехвата нажатий клавиш. Также вредонос способен подменять номера банковских карт в буферах обмена и осуществлять автоматические переводы средств.
Gigabud.Loan, в свою очередь, функционирует как инструмент для сбора личных данных, якобы необходимых для заявки на кредит. Так, вредонос ворует ФИО, номер удостоверения личности, фотографию документа, удостоверяющего личность, цифровую подпись, сведения об образовании, доходах, данных банковской карты и номере телефона жертвы.