Фейковий застосунок «Азов»: російські хакери збирали дані українців через шкідливу програму
Російські хакери збирали особисті дані українців через шкідливу програму для користувачів Android, яку нещодавно розмістило російське хакерське угруповання Turla, яке пов'язують з ФСБ.
Про це повідомляє Група аналізу загроз Google (TAG).
Згідно повідомлення, хакери Turla нещодавно розмістили програму для Android на домені, який мімікрує під український полк «Азов». Додаток нібито має атакувати держсайти рф, а насправді лише збирає інформацію про українців, які його інсталювали.
Це перший відомий випадок, коли Turla розповсюджує шкідливе програмне забезпечення, пов'язане з Android, повідомляє Google.
Підписуйтеся на наші соцмережі
Програма не розповсюджувалася через Google Play Store, а розміщувалася на приватному домені. Поширенням додатка займались в месенджерах і соцмережах.
Фейковий додаток «Азов» поширюється під виглядом програми для виконання атак типу «відмова в обслуговуванні» (DoS) проти ряду російських сайтів. Однак «DoS» складається лише з одного запиту GET до цільового сайту, чого недостатньо, щоб бути ефективним.
Водночас у Google вважають, що кількість встановлень була незначною, тому поширення застосунку не мало значного впливу на користувачів Android.
Група TAG виявила й інші спроби російських та білоруських спецслужб (та підконтрольних їм хакерів) завдати шкоди українським користувачам:
- Вразливість Follina (CVE-2022-30190), вперше оприлюднена наприкінці травня, активно використовувалася групами кіберзлочинців протягом червня. За даними CERT-UA, кілька російських агентів ГРУ РФ — APT28 і Sandworm — проводять кампанії, використовуючи цю вразливість. Sandworm використовувала скомпрометовані державні облікові записи для надсилання посилань на документи Microsoft Office, розміщені на скомпрометованих доменах, головним чином націлюючись на медіаорганізації в Україні.
- Ghostwriter/UNC1151, загроза, яку приписують білорусі, продовжує активну діяльність, націлюючись на облікові записи пошти та акаунти соцмереж польських користувачів. Для цього вони продовжують використовувати техніку фішингу «Браузер у браузері».
- COLDRIVER, російська хакерська група, продовжує надсилати фішингові електронні листи, зокрема до урядовців і чиновників оборони, політиків, та аналітичних центрів, а також журналістів. Окрім фішингових посилань безпосередньо в електронному листі, зловмисники також посилаються на PDF-файли та/або DOC, розміщені на Google Drive та Microsoft One Drive, які містять посилання на контрольований зловмисником фішинговий домен. Ці фішингові домени було заблоковано Google Safe Browsing – службою, яка визначає небезпечні веб-сайти в Інтернеті та сповіщає користувачів і власників веб-сайтів про потенційну шкоду.
Як повідомлялося, у липні урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв'язку, попередила про початок масового поширення небезпечних електронних листів із темою «Об'єднаний офіційний звіт про гуманітарну ситуацію. Україна».
За даними Держспецзв'язку, листи надходять зі скомпрометованих електронних адрес державних органів України та містять вкладення у вигляді XLS-документа з назвою «Гуманітарна катастрофа України з 24 лютого 2022 року.xls».
Фахівці CERT-UA вживають заходів з визначення обставин компрометації облікових записів електронної пошти, а також блокування сервера управління шкідливою програмою. А з метою посилення захисту наполегливо рекомендують використовувати багатофакторну автентифікацію для електронної пошти.