Спецпроекты

Сверхпопулярный в условиях пандемии Zoom подделали и нашпиговали троянами

2593
Безопасность Телеком Маркет

Популярнейшая платформа для видеоконференций Zoom привлекает повышенное внимание со стороны киберзлоумышленников. В неофициальных магазинах приложений появились клоны его мобильных клиентов с вредоносным содержимым.

Атака клонов…

Неизвестные злоумышленники распространяют зараженную троянами версию мобильного приложения платформы Zoom. Эксперты компании Bitdefender обнаружили такие приложения в неофициальных магазинах программ для платформы Android.

Интерфейс троянизированного приложения идентичен официальному. Минимум в одной версии приложения все пакеты сохранили свои оригинальные названия.

Встроенное вредоносное содержимое начинает работать со скачивания дополнительных компонентов с контрольного сервера. Используется служба динамического DNS, что означает, что сервер продолжает функционировать даже после смены IP-адреса.

История домена, впрочем, указывает, что он обращался к IP-адресу в Иордании; к нему же обращался ресурс, использовавшийся как контрольный сервер для RAT-троянца SandoRAT/DroidJack.

В конечном счете поддельное приложение стремится получить возможность загружать дополнительные вредоносы и красть данные из пользовательского устройства.

Злоумышленники создают троянизированные клоны клиентов Zoom

На фоне пандемии коронавируса закономерным образом выросла популярность платформ для видеоконференций. Zoom — одно из самых популярных решений такого рода: к началу апреля 2020 г. ею пользовались до 200 млн человек ежедневно. В декабре 2019 г. их было в двадцать раз меньше.

Разработчики Zoom объявили 90-дневный мораторий на разработку новых функций, чтобы сосредоточить свои усилия на исправлении проблем с безопасностью и конфиденциальностью пользовательских данных.

...по площадям

Эксперты Bitdefender выявили также пару клонов Zoom, нацеленных на конкретные регионы: одно атакует только жителей Китая, другое — только жителей США.

«Китайское» приложение запрашивает доступ к контактам, геолокации и фото при запуске. Поддельный клиент Zoom, обнаруженный в США, пытается получить административные привилегии (причем запрашивает их либо на английском, либо на русском языке, в зависимости от того, какой язык указан в качестве системного) и постоянно выводит рекламу.

«Естественно, такой резкий рост популярности привлек внимание и экспертов по безопасности, и киберпреступников, — говорит Алексей Водясов, эксперт по информационной безопасности компании SECConsultServices. — Совсем недавно у Zoom обнаружились крупные проблемы с защитой приватности, теперь же пошли и троянизированные клоны. Другое дело, что их источником являются сторонние, неофициальные магазины приложений, которые небезопасны по умолчанию. Скачивать и устанавливать оттуда вообще что-либо — довольно опрометчивый шаг».