Новые троянские атаки затронули сотни криптовалютных кошельков и банковских приложений

Исследователи в области кибербезопасности обнаружили четыре активных семейства вредоносных программ для Android, которые нацелены на более чем 800 приложений, включая криптовалютные кошельки и банковские приложения. Эти вредоносные программы используют методы, которые большинство традиционных средств защиты не могут обнаружить.

Команда zLabs компании Zimperium опубликовала результаты tracтроянов, известных как RecruitRat, SaferRat, Astrinox и Massiv.

Согласно исследованиям компании, у каждой семьи есть своя собственная сеть управления и контроля, которую они используют для кражи учетных данных для входа в систему, перехвата финансовых транзакций и получения пользовательских данных с зараженных устройств.

Криптовалютные и банковские приложения сталкиваются с новыми угрозами со стороны многочисленных вредоносных программ

Эти семейства вредоносных программ представляют прямую угрозу для всех, кто управляет криптографическими данными на Android.

После установки трояны могут размещать поддельные экраны входа в систему поверх реальных крипто- и банковских приложений, похищая пароли и другую конфиденциальную информацию в режиме реального времени. Затем вредоносная программа накладывает поддельную HTML-страницу поверх интерфейса реального приложения, создавая, по словам компании, «весьма убедительный и обманчивый фасад»

«Используя службы специальных возможностей для мониторинга активного окружения, вредоносная программа определяет точный момент запуска жертвой финансового приложения», — написали исследователи безопасности из Zimperium.

Согласно отчету ,трояны способны не только крастьdentданные. Они также могут перехватывать одноразовые пароли, транслировать экран устройства злоумышленникам, скрывать значки собственных приложений и препятствовать их удалению.

В каждой рекламной кампании используется разная приманка, чтобы заманить людей в ловушку.

SaferRat распространялся, используя поддельные веб-сайты, обещавшие бесплатный доступ к платным стриминговым сервисам. RecruitRat скрывал свою вредоносную программу в рамках процесса подачи заявки на работу, отправляя жертв на фишинговые сайты, которые просили их загрузить вредоносный APK-файл.

Компания Astrinox использовала аналогичный метод привлечения клиентов, используя домен xhire[.]cc. В зависимости от устройства, используемого для посещения этого сайта, отображался разный контент.

Пользователям Android было предложено загрузить APK-файл, а пользователи iOS увидели страницу, похожую на Apple App Store. Однако исследователи в области безопасности не обнаружили доказательств того, что iOS действительно была взломана.

Подтвердить, каким образом Massiv распространялся в ходе исследовательского цикла, не удалось.

Все четыре трояна использовали фишинговую инфраструктуру, мошеннические SMS-сообщения и методы социальной инженерии, играя на желании людей действовать быстро или на их любопытстве, чтобы заставить их устанавливать вредоносные приложения.

Криптометадные программы избегают обнаружения

Цель этих кампаний — обойти средства защиты.

Исследователи обнаружили, что семейства вредоносных программ используют передовые методы защиты от анализа и структурные манипуляции с пакетами приложений Android (APK), чтобы, по словам компании, обеспечить «практически нулевой уровень обнаружения с помощью традиционных механизмов безопасности, основанных на сигнатурах»

Сетевые коммуникации также смешиваются с обычным трафиком. Трояны используют соединения HTTPS и WebSocket для связи со своими командными серверами. Некоторые версии добавляют дополнительные уровни шифрования поверх этих соединений.

Ещё один важный момент — это устойчивость. Современные банковские трояны для Android больше не используют простые одноэтапные заражения. Вместо этого они используют многоэтапные процессы установки, предназначенные для обхода меняющейся модели разрешений Android, которая затруднила приложениям выполнение действий без явного разрешения пользователя.

В отчете не былиdentконкретные криптовалютные кошельки или биржи среди более чем 800 целевых приложений. Однако из-за атак с использованием наложений, перехвата паролей и потоковой передачи экрана любое криптовалютное приложение на базе Android может оказаться под угрозой, если пользователь установит вредоносный APK-файл не из Google Play Store.

Загрузка приложений по ссылкам в текстовых сообщениях, объявлениях о вакансиях или на рекламных сайтах по-прежнему остается одним из гарантированных способов проникновения мобильного вредоносного ПО в смартфон.

Пользователям, управляющим криптовалютой на устройствах Android, следует использовать только официальные магазины приложений и остерегаться всплывающих сообщений с просьбой что-либо загрузить.