В 143 странах обнаружено шпионское ПО Arsink, маскирующееся под WhatsApp и TikTok
Исследователи безопасности из Zimperium zLabs выявили масштабную киберкампанию, направленную на пользователей Android по всему миру. Новый троян удаленного доступа (RAT), получивший название Arsink, маскируется под популярные приложения и уже заразил более 45 000 устройств в 143 странах.
Злоумышленники не используют официальный магазин Google Play. Вместо этого они распространяют вредоносное ПО через ссылки в Telegram, Discord и файлообменник MediaFire. Эксперты обнаружили 1216 уникальных версий вируса, которые выдают себя за «Pro» или модифицированные («Mod») версии более чем 50 известных сервисов, включая WhatsApp, Instagram, YouTube и TikTok. Пользователям обещают бесплатный доступ к премиум-функциям, которых нет в официальных приложениях.
После установки фальшивое приложение запрашивает обширный список разрешений, а затем часто скрывает свою иконку, продолжая работать в фоновом режиме. Некоторые версии содержат скрытый компонент, позволяющий заражать устройство даже без подключения к интернету.
Arsink предоставляет хакерам полный удаленный контроль над смартфоном жертвы. Среди возможностей трояна:
- Запись аудио через микрофон
- Чтение всех SMS-сообщений
- Кража фотографий, списка контактов, истории звонков и e-mail адреса аккаунта Google
- Совершение исходящих звонков и отслеживание точного местоположения
- Полное удаление данных из памяти устройства
Украденные данные передаются злоумышленникам через различные каналы, включая ботов в Telegram, Firebase и скрытые папки на Google Drive. Наибольшее количество зараженных устройств зафиксировано в Египте, Индонезии и Ираке.
Специалисты Zimperium совместно с Google заблокировали выявленные аккаунты и базы данных, связанные с атакой, однако предупреждают, что хакеры могут быстро восстановить инфраструктуру. Эксперты рекомендуют загружать приложения только из официальных магазинов и избегать сторонних «бесплатных» версий премиального ПО.
Залогиньтесь, чтобы писать комментарии