Сценарий распространения
Выявлена новая кампания по распространению вредоносного ПО для Android: злоумышленники предлагают пользователям установить приложение для подсчёта калорий, а на деле загружают троянец удалённого доступа BTMOB RAT, известный с 2024 года.
Атака организована через мессенджер Telegram: злоумышленники создают чаты, маскируя их под каналы и сообщества спортивных клубов, и распространяют через них установочный файл (apk).
Механизм заражения и последствия
Для увеличения доверия к фальшивым чатам злоумышленники приглашают в них подписчиков реальных каналов. При этом используются автоматические боты, которые удаляют уведомления о вступлении новых участников, чтобы новый чат выглядел как официальный канал сети спортивных клубов.
В таких чатах публикуется сообщение с предложением бесплатно скачать приложение, якобы позволяющее считать калории по фотографии, распознавать блюда, автоматически рассчитывать белки, жиры и углеводы, подбирать нормы калорий в зависимости от цели и отслеживать вес с графиком прогресса.
Поведение злоумышленников в каналах
По ссылке предлагается загрузить apk-файл. При запуске инсталлятора пользователю показывается поддельное окно, имитирующее официальный магазин приложений, после чего вместо ожидаемого фитнес-приложения устанавливается дроппер, который загружает на устройство BTMOB RAT.
BTMOB RAT предназначен для кражи данных и хищения денежных средств с заражённых устройств.
Рекомендации по безопасности
Приманивающие сообщения периодически удаляются и публикуются заново, что позволяет им постоянно находиться в верхней части ленты и привлекать больше внимания аудитории.
Атака нацелена преимущественно на подписчиков официальных сообществ, которые могут не заподозрить подмену канала и принять приглашение к установке приложений за легитимное.