Согласно новому отчету Лаборатории Касперского, киберпреступники запустили мошенническую кампанию с рассылкой поддельных свадебных приглашений, заражая устройства пользователей в Малайзии и Брунее новым Android-вирусом Tria. Атака распространяется через Telegram и WhatsApp, где жертвы получают сообщения с предложением установить мобильное приложение для получения пригласительного.
После установки стилер скрывается под значком системных настроек, запрашивает номер телефона и отправляет информацию о жертве на серверы злоумышленников. Также вирус получает доступ к SMS, письмам в Gmail и Outlook, списку звонков и сообщениям в WhatsApp и WhatsApp Business. Полученные данные могут использоваться для взлома аккаунтов, сброса паролей или перехвата банковских операций.
Диалоговое окно, где жертва вводит номер телефона (Лаборатория Касперского)
Основная цель атаки – полный контроль над аккаунтами жертв в WhatsApp и Telegram. Скомпрометированные учетные записи позволяют мошенникам распространять вирус дальше среди контактов или рассылать запросы на перевод денег от имени владельца. Для обработки украденных данных используются два Telegram-бота: один перехватывает текст из мессенджеров и почты, второй – из SMS.
Число жертв остается неизвестным, но сообщения в соцсетях указывают, что вредоносная кампания охватила значительное количество пользователей Android в Малайзии. По данным Лаборатории Касперского, активность атакующих была зафиксирована с середины 2024 года.
Цепочка атаки Tria (Лаборатория Касперского)
Специалисты не связывают атаку с конкретной группировкой, но отмечают, что хакеры говорят на индонезийском языке. В 2024 году Лаборатория Касперского выявила аналогичную кампанию UdangaSteal, направленную против пользователей в Индонезии, Малайзии и Индии. Тогда киберпреступники похищали SMS и передавали данные через Telegram-бота, используя методы социальной инженерии: поддельные свадебные приглашения, уведомления о доставке посылок, напоминания о налогах и предложения о работе.
Несмотря на схожесть подходов, между кампаниями Tria и UdangaSteal есть важные отличия. Новый вирус действует шире – помимо SMS, программа нацелена на электронную почту и мессенджеры, а география атак отличается. Исследователи призывают пользователей не устанавливать неизвестные приложения, не переходить по подозрительным ссылкам и использовать многофакторную аутентификацию для защиты аккаунтов.