Google предупреждает о новой кибератаке на Android и Windows

Как опытный аналитик по кибербезопасности с более чем двадцатилетним опытом работы за плечами, я видел свою долю киберугроз. Однако атака UNC5812 вызывает особую тревогу из-за своей хитрой маскировки и далеко идущих последствий.

Google предупредил о новой кибератаке, известной как UNC5812, которая затрагивает пользователей Android и Windows.

В сентябре 2024 года было обнаружено, что хакеры распространяли вредоносное ПО с помощью канала Telegram под названием «Гражданская оборона», маскируя его под картографический инструмент. По данным Google Threat Analysis Group (TAG), вредоносный код передается на устройства Android и Windows через приложение для обмена сообщениями Telegram, конкурента WhatsApp, и веб-сайт с аналогичным названием, сообщает Forbes.

Как исследователь, углубляющийся в этот вопрос, я обнаружил, что вредоносное ПО стратегически разработано для атак на определенные операционные системы и замаскировано под легальное программное обеспечение. С точки зрения обывателя, это как волк в овечьей шкуре. Более того, по словам представителя Google Threat Analysis Group, UNC5812 участвует в эдвокаси-кампаниях. Их конечной целью, судя по всему, является ослабление усилий, направленных на поддержку мобилизационного процесса в Украине. Интересно, что эти кибер-акторы покупают посты в существующих украиноязычных каналах Telegram для пропаганды своей программы.

Атаки на компьютерные системы были прослежены до APT29, кибергруппы, поддерживаемой российским правительством, которая также известна как «Полночная метель» или «Уютный медведь». Amazon принял меры по конфискации доменных имен, которые использовались в этой операции.

Цель этой кибератаки — побудить пользователей посетить сайт, где они могут по незнанию загрузить вредоносное программное обеспечение (вредоносное ПО), предназначенное как для устройств Android, так и для Windows. Пользователи Android, в частности, могут столкнуться со скрытым приложением, известным как «craxstat». Группа анализа угроз Google (TAG) отметила, что сайт заявляет о совместимости с системами iOS и Mac OS, однако на момент проверки для этих операционных систем не было обнаружено такого вредоносного ПО.

Как вы можете оставаться в безопасности

Чтобы защититься от этой опасности, Google TAG советует пользователям Android использовать Google Play Protect — встроенный инструмент безопасности, который проверяет приложения на безопасность.

В ходе операции UNC5812 киберпреступники побуждают пользователей загружать приложение из другого источника и пытаются убедить их отключить Google Play Protect, что делает их устройства уязвимыми для потенциальных угроз.

Вы также можете рассмотреть возможность использования антивирусного программного обеспечения на своих устройствах.