Новая волна троянов нацелена на криптокошельки и банковские приложения

Исследователи кибербезопасности обнаружили четыре активных семейства вредоносных программ для Android, нацеленных на более 800 приложений, включая криптовалютные кошельки и банковские приложения. Эти вредоносные программы используют методы, которые большинство традиционных средств защиты не могут обнаружить.

Команда zLabs компании Zimperium опубликовала результаты отслеживания троянов, известных как RecruitRat, SaferRat, Astrinox и Massiv.

По данным исследования компании, каждое семейство имеет свою команду командования и управления, которую они используют для кражи логинов, захвата финансовых транзакций и получения пользовательских данных с зараженных устройств.

Крипто и банковские приложения сталкиваются с новыми угрозами со стороны нескольких видов вредоносных программ

Семейства вредоносных программ представляют прямую угрозу для всех, кто управляет криптовалютой на Android.

После установки трояны могут накладывать фальшивые экраны входа поверх настоящих крипто- и банковских приложений, похищая пароли и другую личную информацию в реальном времени. Затем вредоносное ПО накладывает фальшивую HTML-страницу поверх интерфейса настоящего приложения, создавая, по словам компании, «очень убедительный, обманчивый фасад».

«Используя службы доступности для мониторинга переднего плана, вредоносное ПО обнаруживает точный момент запуска финансового приложения», — написали исследователи безопасности из Zimperium.

По данным отчета, трояны могут делать не только кражу учетных данных. Они также могут захватывать одноразовые коды, транслировать экран устройства злоумышленникам, скрывать свои иконки приложений и препятствовать их удалению.

Каждая кампания использует разную приманку, чтобы заставить людей повестись на нее.

SaferRat распространялся с помощью фальшивых сайтов, обещающих бесплатный доступ к премиум-сервисам потокового вещания. RecruitRat скрывал свое полезное содержимое в рамках процесса подачи заявки на работу, перенаправляя жертв на фишинговые сайты, которые просили скачать вредоносный APK-файл.

Astrinox использовал тот же метод, основанный на вербовке, с доменом xhire[.]cc. В зависимости от устройства, которое посещало этот сайт, показывался разный контент.

Пользователям Android предлагалось скачать APK, а пользователям iOS — страницу, похожую на магазин приложений Apple. Однако исследователи безопасности не нашли доказательств того, что iOS действительно был взломан.

Невозможно было подтвердить, как распространялся Massiv в ходе исследования.

Все четыре трояна использовали инфраструктуру фишинга, мошенничество с текстовыми сообщениями и социальную инженерию, основанную на необходимости быстро действовать или любопытстве, чтобы заставить пользователей устанавливать вредоносные приложения.

Криптовирусное вредоносное ПО избегает обнаружения

Кампании нацелены на обход средств защиты.

Исследователи обнаружили, что семейства вредоносных программ используют передовые методы против анализа и структурные изменения в пакетах приложений Android (APKs), чтобы поддерживать так называемые «почти нулевые показатели обнаружения» по сравнению с традиционными механизмами защиты на основе сигнатур.

Сетевые коммуникации также смешиваются с обычным трафиком. Трояны используют HTTPS и WebSocket соединения для связи со своими серверами командования. Некоторые версии добавляют дополнительные уровни шифрования поверх этих соединений.

Еще одним важным аспектом является устойчивость. Современные банковские трояны для Android больше не используют простые, одноступенчатые заражения. Вместо этого они используют многоступенчатые процессы установки, предназначенные для обхода меняющейся модели разрешений Android, которая усложнила выполнение действий без явного разрешения пользователя.

В отчете не было указано конкретных криптовалютных кошельков или бирж среди более чем 800 целевых приложений. Но из-за атак с наложением, перехвата паролей и потоковой передачи экрана любой крипто-приложение на Android может оказаться под угрозой, если пользователь установит вредоносный APK из вне Google Play.

Загрузка приложений по ссылкам в текстовых сообщениях, объявлениях о работе или рекламных сайтах по-прежнему остается одним из гарантированных способов проникновения мобильного вредоносного ПО в смартфон.

Люди, управляющие своими криптоактивами на Android-устройствах, должны использовать только официальные магазины приложений и остерегаться всплывающих сообщений, предлагающих скачать что-либо.

Самые умные крипто-эксперты уже читают наш информационный бюллетень. Хотите присоединиться? Присоединяйтесь к ним.