Нова хвиля троянів націлена на криптогаманці та банківські додатки

Дослідники з кібербезпеки виявили чотири активні сімейства шкідливого програмного забезпечення для Android, які націлені на понад 800 додатків, включаючи криптовалютні гаманці та банківські додатки. Ці шкідливі програми використовують методи, які більшість традиційних засобів безпеки не можуть виявити.

Команда zLabs компанії Zimperium опублікувала результати відстеження відомих троянів RecruitRat, SaferRat, Astrinox і Massiv.

Згідно з дослідженням компанії, кожне сімейство має свою команду управління та контролю, яку вони використовують для крадіжки логінів, захоплення фінансових транзакцій і отримання даних користувачів з інфікованих пристроїв.

Крипто та банківські додатки стикаються з новими загрозами від кількох видів шкідливого програмного забезпечення

Сімейства шкідливого ПЗ є прямою загрозою для будь-кого, хто керує криптовалютами на Android.

Після встановлення трояни можуть накладати фальшиві екрани входу поверх реальних крипто- та банківських додатків, крадучи паролі та іншу приватну інформацію у реальному часі. Потім шкідливе ПЗ накладає фальшиву HTML-сторінку поверх інтерфейсу справжнього додатку, створюючи те, що компанія назвала «дуже переконливою, обманною фасадою».

«Використовуючи сервіси доступності для моніторингу переднього плану, шкідливе ПЗ визначає точний момент запуску фінансового додатку жертвою», — написали дослідники з Zimperium.

Згідно з доповіддю, трояни можуть робити більше, ніж просто красти облікові дані. Вони також можуть захоплювати одноразові коди, транслювати екран пристрою зловмисникам, приховувати свої іконки додатків і перешкоджати їх видаленню.

Кожна кампанія використовує різний приманку, щоб заманити людей.

SaferRat поширювався за допомогою фальшивих сайтів, які обіцяли безкоштовний доступ до преміум-сервісів потокового мовлення. RecruitRat приховував свій шкідливий код у процесі подачі на роботу, направляючи цільові об’єкти на фішингові сайти, які просили їх завантажити шкідливий APK-файл.

Astrinox використовував той самий метод рекрутингу, застосовуючи домен xhire[.]cc. Залежно від пристрою, яким відвідували цей сайт, він показував різний контент.

Користувачам Android пропонували завантажити APK, а користувачам iOS — сторінку, схожу на Apple App Store. Однак дослідники безпеки не знайшли доказів того, що iOS справді був зламаний.

Не вдалося підтвердити, як саме Massiv поширювався під час дослідження.

Усі чотири трояни використовували фішингову інфраструктуру, шахрайство з текстовими повідомленнями та соціальну інженерію, що грали на людській потребі діяти швидко або їхньому цікавості, щоб змусити їх встановлювати шкідливі додатки.

Криптошкідливе ПЗ уникає виявлення

Кампанії мають на меті обійти засоби безпеки.

Дослідники виявили, що сімейства шкідливого ПЗ використовують передові техніки протидії аналізу та структурні маніпуляції з пакетами додатків Android (APK), щоб зберегти так звані «майже нульові показники виявлення» проти традиційних механізмів безпеки на основі підписів.

Мережеві комунікації також змішуються з звичайним трафіком. Трояни використовують HTTPS і WebSocket-з’єднання для зв’язку з командами серверів. Деякі версії додають додаткові шари шифрування поверх цих з’єднань.

Ще одним важливим аспектом є стійкість. Сучасні банківські трояни для Android більше не використовують прості одноетапні інфекції. Замість цього вони застосовують багатоступінчасті процеси встановлення, щоб обійти змінювану модель дозволів Android, яка ускладнила виконання дій без явного дозволу користувача.

У доповіді не було визначено конкретних криптовалютних гаманців або бірж у понад 800 цільових додатках. Але через атаки накладання, перехоплення паролів і потокове передавання екрана будь-який крипто-додаток на Android може бути під загрозою, якщо користувач встановить шкідливий APK із поза Google Play.

Завантаження додатків за посиланнями у текстових повідомленнях, оголошеннях або рекламних сайтах все ще є одним із гарантованих способів проникнення мобільного шкідливого ПЗ у смартфон.

Люди, які керують своїми криптовалютами на пристроях Android, повинні використовувати лише офіційні магазини додатків і бути обережними з повідомленнями, що пропонують щось завантажити.

Найрозумніші криптоспільноти вже читають наш інформаційний бюлетень. Хочете приєднатися? Приєднуйтесь до них.