Вредоносное ПО для Android от Elibomi

Было замечено, что киберпреступники использовали новое семейство фишинговых вредоносных программ для Android в реальных атаках. Угроза была обнаружена исследователями, которые назвали ее Элибоми. Угроза использует тактику социальной инженерии и поддельные приложения Android для сбора информации от своих жертв и передачи ее на серверы, находящиеся под контролем хакеров.

Первая атака Элибоми

Первая атака, связанная с угрозой Elibomi, произошла в конце 2020 года. Злоумышленники доставили поддельное приложение «ИТ-сертификат» на устройства своих жертв. Вооруженное приложение имитировало модуль управления ИТ-сертификатами, который претендует на проверку устройства на несуществующем сервере. Приложение запрашивает разрешения на SMS, а также права администратора. Последним, вероятно, злоупотребляют, чтобы затруднить любые попытки удаления. В то время как жертвам предоставляется фиктивное «сканирование безопасности» в фоновом режиме, приложение собирает конфиденциальную информацию, такую как электронные письма, номера телефонов, сохраненные SMS / MMS-сообщения и многое другое.

Вторая атака Элибоми

Недавняя кампания, направленная на распространение угрозы Элибоми, была нацелена на индийских налогоплательщиков. Хакеры изменили идентификатор своего поддельного приложения, и теперь оно было представлено как приложение для подачи налоговых деклараций. Атака начинается с распространения целевых SMS-сообщений, якобы отправленных Департаментом подоходного налога Индии. Для большей легитимности в сообщениях-приманках упоминаются имена целевых лиц. На этом этапе цель состоит в том, чтобы заставить жертву перейти по предоставленной ссылке под ложным предлогом, что им было срочно обновлено сообщение о возмещении подоходного налога.

Поврежденные ссылки ведут на фишинговую страницу, которая снова утверждает, что принадлежит Департаменту подоходного налога Индии. Фишинговая страница предлагает пользователям тайно загрузить приложение, несущее угрозу Elibomi. Пакет угрожающего приложения назван по шаблону - случайное слово. Случайная строка. Imobile. Исследователи информационной безопасности обнаружили несколько версий поддельного приложения, которые будут распространяться, причем некоторые из них показывают только поддельную страницу входа в систему, в то время как другие также обладают опцией для поддельной регистрации и запросов на возврат налогов.

Угроза Elibomi снова захватывает конфиденциальные данные со скомпрометированного устройства, а также любую финансовую информацию, которую ей удается получить от своих жертв. Он может получать электронные письма, номера телефонов, SMS / MMS-сообщения, финансовые данные и личную информацию. Как ни странно, собранные данные были загружены на серверы, которые были открыты для Интернета, эффективно открывая доступ к информации жертвы общественности. Возможно, хакеры заметили, что их ошибка была обнаружена и собранная информация больше не доступна.