Отдел реагирования и цифровой криминалистики Angara MTDR завершил анализ обновлённой версии вредоносного ПО семейства Mamont для Android. Злоумышленники продолжают распространять троян под видом вложенных фотографий в объявлениях о продаже домашних вещей, чаще всего связанных с переездом. Руководитель направления обратной разработки Angara MTDR Александр Гантимуров рассказал в корпоративном блоге на Habr, что новые варианты зловреда оснащены расширенным функционалом для хищения личных данных.

Исследованы два схожих по структуре APK-файла объёмом около 10 Мбайт, отличающихся лишь мелкими деталями. В названиях файлов часто встречаются слова «фото» или photo, они распространяются через мессенджеры под видом «картинок к объявлению». Ранее создатели Mamont уже маскировали приложения под изображения и видео, чтобы обмануть пользователей.

После установки вредоносное приложение запрашивает разрешения на отправку и получение СМС, телефонные звонки и доступ к камере. Получив их, Mamont открывает фишинговый сайт, замаскированный под сервис хранения изображений, предназначенный для сбора пользователей данных. Кроме того, троян скрытно отправляет и получает сообщения, собирает информацию об устройстве, инициирует USSD-команды, читает уведомления и открывает произвольные ссылки.

Связь с управляющим сервером реализована через клиент Retrofit2, а данные передаются в формате JSON. В программном коде обнаружен неактивный пока модуль uploadVerificationData, что свидетельствует о планах злоумышленников расширить сбор информации, включая номера документов. По мнению Александра Гантимурова, это может указывать на подготовку масштабной кампании по массовому сбору и дальнейшему использованию персональных данных владельцев заражённых устройств.

Источник: anti-malware.ru

Поделиться ссылкой: