В последнее время пользователи Android в Индонезии и Вьетнаме стали мишенью для изощренной кампании киберпреступников, использующей банковские троянцы, маскирующиеся под официальные правительственные и платёжные приложения. Она активна с августа 2024 года и задействует различные версии BankBot, а также более 100 доменов для достижения своих целей. Преступники создают убедительные копии таких официальных сервисов, как M-Pajak — приложение для налоговых платежей, и программы для верификации цифрового идентификатора, чтобы заманить жертв в ловушку.
Использование WebSocket для доставки
Злоумышленники применяют передовую систему доставки, основанную на WebSocket с использованием библиотеки Socket.IO, которая позволяет избежать прямых ссылок на загрузку и обнаружения. При нажатии на кнопку загрузки Android-сайты инициируют emit('startDownload', …) для передачи файла по частям. Браузер собирает фрагменты через socket.on('chunk', (chunk) => { chunks.push(chunk); }) и компилирует их в памяти, присваивая тип MIME application/vnd.android.package-archive для формирования валидного APK. Затем генерируется временный локальный URL, и программно запускается невидимая загрузка. Эта система доставляет вредоносное ПО в виде зашифрованного трафика в реальном времени, что позволяет обходить сетевые защитные механизмы и статические анализаторы URL.
Аналитики из DomainTools отмечают, что именно поддельные страницы Google Play Store и сложные механизмы доставки делают эту кампанию столь эффективной. Учитывая растущий интерес злоумышленников к развивающимся рынкам, подобные методы все чаще появляются в данном регионе. Уязвимости в системе безопасности позволяют троянцам BankBot красть финансовую информацию и учетные данные, что делает данную угрозу особенно значимой.
Специалисты настоятельно рекомендуют пользователям быть бдительными, проверять достоверность приложений и скачивать ПО исключительно с проверенных источников. По мере улучшения инструментов защиты покупатели и разработчики приложений должны развивать и внедрять новые методы защиты от подобных угроз.
