Троянизированный Telegram, поддельная NFT-игра Pokemon и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Пользователи стали жертвами шпионажа со стороны троянизированного Telegram

Специалисты ESET обнаружили фейковое приложение Shagle, которое представляет собой троянизированную версию приложения Telegram для Android с добавленным в код бэкдором.

This week, the ESET research team published their findings about an espionage campaign by the StrongPity APT group that spreads a fully functional, but trojanized version of the legitimate Telegram app for Android.

▶️ Watch #WeekInSecurity with @TonyAtESET to learn more. pic.twitter.com/Ch7fZIYDuc

— ESET (@ESET) January 13, 2023

За распространение малвари ответственна хакерская группировка StrongPity. 

Реальная платформа Shagle предоставляет услуги случайных зашифрованных видеочатов, однако она полностью ориентирована на веб и не имеет собственного мобильного приложения. Начиная с 2021 года, StrongPity распространяли вредонос через замаскированный под официальный сайт Shagle. 

После установки приложение позволяет хакерам следить за своими жертвами посредством записи телефонных звонков, отслеживания местоположения устройства, сбора SMS-сообщений, журналов вызовов, списков контактов и файлов. Собранные данные в конечном итоге поступают на управляющий сервер хакеров.

Имеющиеся у малвари разрешения позволяют читать ей входящие уведомления и сообщения из различных приложений, включая Gmail, Kik, LINE, Facebook Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber и WeChat.

Помимо этого, на устройствах с полным доступом к правам администратора вредонос автоматически может изменять настройки безопасности, сохранять данные в файловую систему и перезагружать телефон.

Аналитики ESET предполагают, что ссылки на фейковый сайт Shagle распространялись через адресные фишинговые рассылки, SMS-фишинг или мгновенные сообщения на онлайн-платформах.

В настоящее время сайт хакеров неактивен.

Поддельная игра Pokemon NFT позволила хакерам захватить устройства под управлением Windows

Через фейковый сайт карточной игры Pokemon злоумышленники распространяют инструмент удаленного доступа NetSupport для получения контроля над устройствами жертв. Об этом сообщают эксперты ASEC.

Согласно информации на сайте, стратегическая игра создана на основе франшизы Pokemon и предлагает пользователям дополнительный заработок на инвестициях в NFT. 

Нажатие кнопки «Играть на ПК» загружает исполняемый файл, который выглядит как обычный установщик игры, но на самом деле устанавливает инструмент удаленного доступа NetSupport в систему жертвы. Хотя NetSupport Manager является легитимным ПО, злоумышленники обычно используют его в своих вредоносных кампаниях.

Он позволяет хакерам удаленно подключаться к зараженному устройству для кражи данных, установки других вредоносных программ или попыток дальнейшего распространения по сети.

Первые признаки активности этой кампании появились в декабре 2022 года. На момент написания сайт все еще доступен. 

В открытый доступ попали данные 200 млн пользователей Twitter

Очередной слив данных пользователей Twitter зафиксирован на известном хак-форуме Breached. Как сообщает Bleeping Computer, дамп объемом 59 ГБ содержит информацию о 200 млн профилей.

Хакер оценил базу в $2.

В общей сложности в открытый доступ выложены 211 524 284 уникальных адреса электронной почты. Также дамп включает имена, никнеймы, количество подписчиков и даты создания учетных записей. 

В комментарии по ситуации представители Twitter сообщили, что информацию пользователей хакеры получили не через ранее выявленную уязвимость в API, связанную с процессом авторизации на Android-клиенте. 

В декабре 2021 года с ее помощью злоумышленники могли отправлять номера телефонов и адреса электронной почты для получения идентификатора Twitter. В январе 2022 года баг устранили.

Cкам-сделки с доменами .ton, масштабная утечка в Twitter и другие события кибербезопасности

«Упомянутый набор данных 200 млн пользователей не может быть соотнесен с ранее освещавшимся инцидентом или какой-либо информацией, полученной в результате эксплуатации систем Twitter», – отметили представители соцсети.

В Twitter подчеркнули, что дамп не содержал паролей или информации, которая могла бы привести к компрометации паролей.

MetaMask предупредил о новом криптовалютном мошенничестве

Некастодиальный кошелек MetaMask сообщил о новой афере под названием «Отравление адресов», которая заставляет пользователей отправлять средства мошеннику, а не предполагаемому получателю.

A new scam called ‘Address Poisoning’ is on the rise. Here’s how it works: after you send a normal transaction, the scammer sends a $0 token txn, ‘poisoning’ the txn history. (1/3)

— MetaMask Support (@MetaMaskSupport) January 11, 2023

Хакеры отравляют историю транзакций пользователя и подменяет адреса кошельков на схожие с теми, по которым еще недавно осуществлялись переводы. 

Затем злоумышленник отправляет на адрес жертвы небольшую сумму криптовалюты или даже нулевую транзакцию, чтобы она отобразилась в истории кошелька. Поскольку MetaMask сокращает адреса в истории транзакций, создается впечатление, что это адрес одного и того же человека.

После этого хакер ждет, что жертва использует его адрес при последующем переводе средств.

Какого-либо способа предотвратить такой вид мошенничества не существует, поэтому MetaMask предупреждает пользователей, чтобы они были осторожны при копировании адресов из транзакций.

Даркнет-маркетплейсы перешли на использование Android-приложений

Начиная с третьего квартала 2022 года, торгующие наркотиками даркнет-маркетплейсы начали использовать собственные приложения для Android, чтобы повысить конфиденциальность и избежать внимания правоохранителей. Об этом сообщили специалисты Resecurity.

Resecurity has released a report on drug trafficking in the Dark Web, highlighting the new communication methods used by criminals such as proprietary Android-based mobile apps and the launch of the new underground marketplace KRAKEN. Learn more👇:https://t.co/jpJDOuCuNB pic.twitter.com/79EuibnCo9

— Resecurity® (@RESecurity) January 9, 2023

По их данным, как минимум семь торговых платформ — Yakudza, TomFord24, 24Deluxe, PNTS32, Flakka24, 24Cana и MapSTGK — выпустили APK-файлы собственных Android-приложений. 

Эксперты предположили, что это стало ответом на прошлогодние действия правоохранительных органов, в частности на закрытие маркетплейса Hydra. 

Мобильные приложения позволяют передавать данные о заказах наркотиков, а также отправлять покупателю географические координаты «клада», оставленного курьером. Обмен информацией в различных приложениях порождает фрагментацию и мешает правоохранителям отслеживать преступников.

Эксперты зафиксировали утечку данных 3,5 млн пользователей Mail.ru

В открытый доступ попали данные одного из сервисов Mail.ru. Об этом сообщает Telegram-канал «Утечки информации».

Опубликованная база данных включает более 3,5 млн строк, содержащих:

• никнейм, имя, фамилию и ID пользователя;
• адрес электронной почты на доменах mail.ru, corp.mail.ru, bk.ru, inbox.ru и list.ru;
• номер мобильного телефона.

В общей сложности в базе находятся 1 647 711 уникальных телефонных номеров. Выборочная проверка случайных записей через форму восстановления доступа на сайте account.mail.ru подтвердила, что в утечке указаны реальные номера пользователей.

При этом в Mail.ru заверили, что пользователям ничего не угрожает, а сервис «надежно защищен».

«Опубликованные данные связаны с утечкой стороннего ресурса в начале 2022 года», — рассказали в пресс-службе.

Компания проводит проверку инцидента.

Также на ForkLog:

• CoinMarketCap обвинили в проведении фейковых аирдропов.
• CFTC подала иск против участника атаки на DeFi-проект Mango Markets.
• Отчет: ущерб криптоиндустрии от взломов в 2022 году вырос до $3,6 млрд.
• Брат основателя Helix признал вину в краже конфискованных 712 BTC.

Что почитать на выходных?

О взломах и скамах DeFi-сегмента в 2022 году читайте в итоговом материале ForkLog.

Читайте биткоин-новости ForkLog в нашем Telegram — новости криптовалют, курсы и аналитика.