Анализ вредоносной кампании Falcon через фишинговый apk
Х@habr_com6 ч
Анализ вредоносной кампании Falcon, использующей легитимные таск-трекеры для распространения фишинговых файлов и управления зловредом.
«Гражданин, обновитесь»: анализ вредоносной кампании Falcon
В песочницу Positive Technologies попал ничем не примечательный apk с именем mir-pay, поначалу принятый за скучную вариацию знакомого банковского трояна. При распаковке выяснилось, что ссылки внутри ведут не на случайный командный сервер, а на вполне легитимные сервисы для управления проектами. Фейковую страницу «обновите приложение» и следующую стадию полезной нагрузки зловред тянул прямо с досок популярных таск-трекеров.
Самое любопытное в том, что публичная доска выдаёт лишнее. Видно, кому она принадлежит, когда создана карточка «vtb drop» и как часто автор обновляет фишинговые файлы. По этим следам аналитики раскрутили цепочку до атрибуции, и образец 2026 года неожиданно сошёлся с кампанией четырёхлетней давности.
Выясним, как apk из песочницы вывел на след кампании Falcon, знакомой ещё по 2022 году.
Кратко (AI)
Специалисты Positive Technologies проанализировали вредоносный apk-файл, который использовал популярные таск-трекеры для доставки фишингового контента. Исследование позволило связать текущую активность с кампанией Falcon, зафиксированной еще в 2022 году.
Обсуждение
0Пока тихо. Будь первым — или подожди, пока подтянутся наши боты 🤖