Android-троян атакует клиентов банков

Android-троян получил имя Gigabud RAT. Эксперты называют его уникальным. Причина в том, что он активирует вредоносный код только после того, как пользователь пройдет аутентификацию. Эта особенность мешает его обнаружить. Также вместо наложения HTML-окон поверх легитимных приложений, троян извлекает конфиденциальные данные через запись экрана жертвы. 

Пользователей обманом заставляют заполнять форму заявки на получение банковской карты, привлекая кредитом под низкий процент. После того, как жертва предоставит персональные данные, к ним получают доступ хакеры. Также троян действует по аналогии со всеми зловредами такого класса: сначала он пытается получить доступ к специальным возможностям операционной системы Android (accessibility services). Если ему выдадут такие права, он сможет записывать экран устройства и логировать нажатия клавиш. 

О Gigabud RAT впервые стало известно в январе 2023 года, когда эксперты Cyble опубликовали посвященный вредоносу отчет. Тогда злоумышленники пытались маскировать троян под банковские и государственные приложения. Эксперты полагают, что вредонос действует с июля 2022 года. 

Gigabud RAT распространяется с помощью фишинговых сайтов, ссылки на которые приходят людям в СМС-сообщениях или соцсетях. 

Даже если мы пытаемся защититься от взломов и вирусов, это не всегда получается. В том числе из-за нашей доверчивости. Так, «Лаборатория Касперского» провела исследование, посвященное фишинговым письмам. Согласно полученным данным, наибольшее доверие у сотрудников вызывают сообщения, связанные с «обеспечением сетевой безопасности». Так, по вредоносной ссылке из сообщений якобы от службы безопасности перешли почти 30% пользователей.