Введение
Хакеры, использующие платформу Android, нацелились на более чем 800 приложений в банковском, криптовалютном и социальных медиа-секторах. Кибербезопасная компания Zimperium сообщает, что ее исследователи выявили четыре активные семейства вредоносного ПО, которые используют продвинутую инфраструктуру командования и управления для кражи учетных данных, проведения несанкционированных финансовых транзакций и эксфильтрации данных в больших масштабах.
Обнаруженные угрозы
«В совокупности эти кампании нацелены на более чем 800 приложений в банковском, криптовалютном и социальных медиа-секторах. Используя продвинутые методы противодействия анализу и структурное вмешательство в APK, эти семейства часто имеют почти нулевые показатели обнаружения против традиционных механизмов безопасности на основе сигнатур», — отмечают эксперты.
Названия семейств вредоносного ПО: RecruitRat, SaferRat, Astrinox и Massiv. Нападающие обычно полагаются на фишинговые веб-сайты, мошеннические предложения о работе, поддельные обновления программного обеспечения, мошенничество через текстовые сообщения и рекламные приманки, чтобы убедить жертв установить вредоносные приложения для Android.
Методы атаки
После установки вредоносное ПО может:
- запрашивать разрешения на доступ;
- скрывать иконки приложений;
- блокировать попытки удаления;
- красть PIN-коды и пароли через поддельные экраны блокировки;
- захватывать одноразовые пароли;
- транслировать экраны устройств в реальном времени;
- накладывать поддельные страницы входа на легитимные банковские или криптовалютные приложения.
«Атаки наложения остаются краеугольным камнем цикла сбора учетных данных. Используя службы доступности для мониторинга переднего плана, вредоносное ПО обнаруживает точный момент, когда жертва запускает финансовое приложение. Затем оно загружает вредоносный HTML-контент и накладывает его на пользовательский интерфейс легитимного приложения, создавая крайне убедительную обманчивую фасаду», — добавляют специалисты.
Технологии укрытия
Компания также сообщила, что кампании используют HTTPS и WebSocket для смешивания вредоносного трафика с нормальной активностью приложений, в то время как некоторые варианты добавляют дополнительные уровни шифрования, чтобы избежать обнаружения.
