Недавно обнаруженная вредоносная кампания доставляющая PDF-документы в виде вложений через фишинговые сообщения.
Пользователи, открывающие вредоносные PDF-файлы, автоматически загружают исполняемый файл Android, который работает в фоновом режиме и может сохраняться в зараженной системе.
PDF-файлы используют различные приемы, чтобы обмануть жертв, например «Чтобы открыть этот документ, обновите Adobe Reader» или «Чтобы разблокировать этот документ, нажмите кнопку ниже».
К тому времени, когда жертва наконец выполняет действие по щелчку, запрошенное в этом документе, вредоносный файл APK (исполняемый файл Android) загружается по ссылке, которая присутствовала в этом PDF, и должен был загрузить исходный Adobe Reader.
PDF-файлы используют различные способы, такие как «Чтобы открыть этот документ, обновите Adobe Reader» или «Чтобы разблокировать этот документ, нажмите кнопку ниже», чтобы привлечь внимание пользователя. В тот момент, когда пользователь, наконец, выполняет запрошенную операцию щелчка по этому документу, злонамеренный файл APK (исполняемый файл Android) загружается по ссылке, которая присутствовала в этом PDF, что дополнительно загружает оригинальный Adobe Reader.
Это вредоносное ПО также имеет возможность собирать контакты с устройства, сообщения, закладки браузера и сохраненные пароли, а также блокировать процессы, запущенные в фоновом режиме в ОС.
Вредоносная программа обнаруживает, находится ли устройство в контексте корневого пользователя или нет, собирает информацию о долготе и широте устройства, отслеживая SMS-уведомления и состояние вызова. Вся информация отправляется на серверы C2, контролируемые злоумышленниками.
Опять же, основной причиной этого типа атак являются фишинг и спам, которые адресуются по электронной почте.
Поэтому рекомендуется, чтобы пользователи воздерживались от загрузки приложений с не аутентичных сторонних торговых площадок или ссылок и других общих подключений с помощью SMS (взлома) или электронной почты.
Кроме того, не открывайте электронные письма и вложения из неизвестных источников и не включайте «Неизвестные источники» на своем устройстве. Включение этой опции позволяет устанавливать определенные приложения из неизвестных источников, и вам не выдают никаких уведомлений, которые, по крайней мере, заставят вас усомниться в правильности этого действия.
Обратите внимание на все разрешения, запрошенные приложением во время его установки. Например, приложение для чтения PDF-файлов не требует обычных разрешений для доступа к вашим контактам.
Будьте внимательны к использованию технологий и помните, что люди являются самым слабым звеном в экосистеме.
