- 9,386
- 18
- 8 Ноя 2022
Android снова стал инструментом в руках разработчиков приложений.
Отчёт команды Antiy AVL Threat Intelligence Team Для просмотра ссылки Войдиили Зарегистрируйся деятельность APT-группы Для просмотра ссылки Войди или Зарегистрируйся (APT59), которая активна с 2013 года. Главными целями атак группы являются госучреждения, военные и ядерные объекты в Пакистане и других странах Южной Азии.
По данным AVL, Confucius использует вредоносные программы для Android SunBird и Hornbill для кражи данных с устройств. Отмечается, что активность приложений отслеживается с мая 2023 года.
Поддельное приложение
Приложения распространяются в виде обновлений Google и запрашивают различные разрешения на устройстве жертвы. После авторизации приложения просит получение разрешений диспетчера устройств. После успешного применения разрешения образец скрывает значок. После получения разрешений с устройства похищаются фотографии, сообщения, контакты, чаты из WhatsApp , данные о пользователе терминала и информация о подключенных мобильных устройствах. Кроме того, приложение реализует автозапуск в смартфонах от Xiaomi, Oppo, vivo, letv и Honor.
В атаках используются серверы с IP-адресами, принадлежащими США. Атаки в основном сосредоточены на Кашмире и других регионах Индии. Было обнаружено более 50 жертв, включая госслужащих в Кашмире, военных, а также сотрудники индийской компании по продаже косметики Baccarose.
Отчёт команды Antiy AVL Threat Intelligence Team Для просмотра ссылки Войди
По данным AVL, Confucius использует вредоносные программы для Android SunBird и Hornbill для кражи данных с устройств. Отмечается, что активность приложений отслеживается с мая 2023 года.
Поддельное приложение
Приложения распространяются в виде обновлений Google и запрашивают различные разрешения на устройстве жертвы. После авторизации приложения просит получение разрешений диспетчера устройств. После успешного применения разрешения образец скрывает значок. После получения разрешений с устройства похищаются фотографии, сообщения, контакты, чаты из WhatsApp , данные о пользователе терминала и информация о подключенных мобильных устройствах. Кроме того, приложение реализует автозапуск в смартфонах от Xiaomi, Oppo, vivo, letv и Honor.
В атаках используются серверы с IP-адресами, принадлежащими США. Атаки в основном сосредоточены на Кашмире и других регионах Индии. Было обнаружено более 50 жертв, включая госслужащих в Кашмире, военных, а также сотрудники индийской компании по продаже косметики Baccarose.
- Источник новости
- www.securitylab.ru
