Анализ угроз

Социальная инженерия для обмана пользователей Facebook

Threat Intelligence Team, 27 февраля 2018

Зная одну слабость пользователя, злоумышленники могли получить доступ ко всем его данным

Социальная инженерия для обмана пользователей Facebook: приложение Kik Messenger.

Несколько месяцев назад с нами связался один из пользователей по поводу странных сообщений, которые он получил в Facebook Messenger. Данные сообщения поступали от фейковых профилей привлекательных девушек, которые рекомендовали загрузить чат-приложение, чтобы продолжить общение. Приложение чата, разумеется, являлось вредоносным ПО, замаскированным под Kik Messenger с сайтом, который по своему виду мог внушить доверие пользователю.

После анализа Kik Messenger мы обнаружили шпионское ПО типа «APT», что с английского языка расшифровывается, как «развитая устойчивая угроза». Мы углубились в наши архивы и обнаружили данный модуль ещё в нескольких фишинговых чат-приложениях.

Во время нашего исследования мы поняли, что наш клиент был не единственным, кто попался в ловушку злоумышленников.

Шпионское ПО под названием «Tempting Cedar Spyware» было создано для кражи личной информации, такой как список контактов, журналы вызовов, SMS и фотографии, а также информации об устройстве: геолокация и окружающие звуки.

Основываясь на поддельных профилях Facebook и инфраструктуре вируса, мы считаем, что авторами данной угрозы являются представители Ливанской республики. На данный момент Avast является одним из немногих мобильных антивирусов, обнаруживающих угрозу. В нашей базе вирус получил название Android: SpyAgent-YP [Trj].

Чтобы помочь пользователям избежать столкновения с данной угрозой мы также связались с правоохранительными органами.

001

 

Работа вируса

Больше, чем просто друзья

Для жертвы всё начиналось, как простое знакомство с красивой девушкой. После кокетливых бесед виновница интриги предлагала перевести общение в «приватный и конфиденциальный чат», в котором она уверена больше, чем в Facebook. После этого злоумышленники отправляли пользователю ссылку на фишинговый сайт вредоносной версии приложения Kik Messenger. Чтобы данное приложение было установлено на устройстве, жертва должна была добровольно изменить параметры своего смартфона. Несмотря на то, что подобные махинации уже должны были сработать неким сигналом к возможной угрозе, страх потерять общение с красивой девушкой заставлял людей идти на поводу у киберпреступников.

Как только приложение попадало на устройство, вредоносное ПО подключалось к серверам управления и начинало захватывать необходимую информацию.

Шпионские программы были распространены, используя, по крайней мере, следующие три поддельных профиля Facebook. Мы размыли фотографии, так как они были украдены у реальных людей:

003

 

005

 

004

Интересно отметить, что три фейковых пользователя взаимодействовали друг с другом, скорее всего чтобы создать видимость реальной жизни.

007
008

Выше: скриншот переписки, где «девушка» предлагает жертве скачать необходимое приложение.

009

Веб-сайт, используемый для распространения вредоносной копии приложения Kik Messenger, выглядел очень убедительно.

Глубокий анализ

«Tempting Cedar Spyware» включает в себя разные модули, каждый из которых выполняет собственную задачу. Несколько частей собирали приватную информацию: SMS, фотографии, журналы вызовов, список контактов, а также модель устройства, оператора и номер телефона.

010

Другие блоки вредоносного ПО были направлены на получение доступа к файловой системе устройства и запись внешних аудиопотоков.

011

Шпионское ПО внедрялось в устройство под видом службы, поэтому перезапускалось после каждой перезагрузки.

012

Также фишинговое приложение имело файл rsdroid.crt с разными сертификатами.

Администрирование вируса

Вредоносная программа была связана с TCP-портом 2020 и консолью управления rsdroid на порту 443, позволяя злоумышленникам отслеживать все появившиеся данные в реальном времени.

016

Нижеприведённый снимок карты показывает регион распространения данной вирусной угрозы.

015

Мы разработали для вас схему, как действовало данное вредоносное ПО:

Avast_Tempting_Cedar_Spyware

Все признаки указывают на Ливан

Как мы говорили ранее, по нашим данным и заключениям атака была совершена из Ливана. В первую очередь, время атак совпадает с часовым поясом и рабочим временем, во вторых домены сайтов, зарегистрированных для продвижения вирусной версии приложения также куплены в Ливане. Более того, Рита — один из фейковых профилей, похоже интересуется ливанской и израильской дружбой и военными группами.

Вывод

Начиная с 2015 года, социальная инженерия является одним из самых опасных ресурсов злоумышленников. Ежедневное развитие и понимание поведения человека помогает злоумышленникам давить на слабые места своих жертв и добывать интересную для них информацию.

3 шага по защите

1. Используйте антивирусное ПО

Даже если вы случайно загрузите вредоносное ПО на своё устройство, Avast обнаружит и удалит его при первой возможности.

2. Не разговаривайте с незнакомцами

Не зря нас учат этому с детства. Если к вам в друзья добавляется незнакомый человек, то будьте предельно осторожны при вашем общении.

3. Никогда не загружайте ПО по ссылке из сообщения
Если ваш друг предлагает вам скачать что-либо на ваше устройство и предлагает вам ссылку, в первую очередь, свяжитесь с ним по телефону/skype и т.д. и выясните он ли дал вам эту ссылку.

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.