Миллионы пользователей Android под угрозой: новые банковские трояны бесследно исчезают после установки
Эксперты по кибербезопасности выявили четыре масштабные кампании по распространению вредоносного ПО для Android. Трояны используют изощренные тактики маскировки и удаления иконок, чтобы оставаться незамеченными на устройстве, одновременно похищая учетные данные и транслируя содержимое экрана злоумышленникам в режиме реального времени.
Масштаб угрозы и методы внедрения
Специалисты компании Zimperium отследили деятельность вредоносных программ, получивших названия RecruitRat, SaferRat, Astrinox и Massiv. В совокупности эти кампании нацелены на более чем 800 приложений, включая банковские сервисы, криптокошельки и социальные сети, такие как Facebook* и Instagram*.
Потенциальный охват атак огромен: хотя количество подтвержденных заражений исчисляется миллионами, под угрозой находятся миллиарды пользователей популярных сервисов. По словам обозревателей, злоумышленники полагаются не только на технические уязвимости, но и на методы социальной инженерии:
- Создание поддельных сайтов, имитирующих порталы по поиску работы, стриминговые платформы или ресурсы с программным обеспечением.
- Использование легенды о найме сотрудников, где соискателя просят скачать приложение для прохождения собеседования.
- Предложение бесплатного доступа к премиум-контенту через установку файлов из неофициальных источников (sideloading).
- Применение многоэтапной загрузки, при которой основной вредоносный код скрыт внутри другого, на первый взгляд безобидного файла.
Механизмы кражи данных и скрытность
Для повышения доверия трояны часто имитируют официальные экраны обновлений, дизайн которых напоминает интерфейс Google Play. После активации программа запрашивает разрешение на использование «Специальных возможностей» (Accessibility Services). Это позволяет вирусу отслеживать любые действия пользователя, читать содержимое экрана и самостоятельно предоставлять себе дополнительные права без ведома владельца.
В обзоре отмечается, что одной из наиболее дезориентирующих функций является способность вируса заменять свою иконку на пустое изображение. В результате приложение буквально «исчезает» из списка установленных программ, что крайне затрудняет его поиск и удаление. Другие модификации вируса напрямую блокируют попытки деинсталляции, принудительно закрывая системные настройки или перенаправляя пользователя на другие экраны.
Основным инструментом кражи паролей остаются экранные оверлеи — фальшивые окна, отображаемые поверх легитимных приложений:
- Поддельные экраны блокировки перехватывают PIN-коды и графические ключи.
- Фишинговые окна авторизации в банковских сервисах собирают логины и пароли в момент их ввода.
- Полноэкранные уведомления об «обязательном обновлении» блокируют работу устройства, пока в фоновом режиме совершаются вредоносные действия.
Прямая трансляция экрана и удаленное управление
Помимо кражи учетных данных, ряд вредоносных семейств способен транслировать живое видео с экрана смартфона на удаленные серверы. Это позволяет хакерам в реальном времени наблюдать за активностью пользователя и перехватывать коды двухфакторной аутентификации. Инфицированные устройства подключаются к централизованным командным системам через зашифрованные каналы связи. Подобные сети позволяют управлять тысячами зараженных гаджетов одновременно, что упрощает организацию массовых хищений денежных средств.
Смотрите также:
Легендарный сервис Vine возвращается под новым названием Divine http://kupidonchik.org/legendarnyiy-servis-vine-vozvrashhaetsya-pod-novyim-nazvaniem-divine/.
Интересности на тему: Лучшие предложения Amazon ко Дню матери: 12 товаров, заслуживающих внимания
Классные советы в статье "SpaceX постепенно сокращает частоту запусков ракет Falcon 9" здесь.
В отчете исследователей подчеркивается, что современные методы обхода защиты, включая изменение структуры файлов и использование скрытых полезных нагрузок, значительно усложняют обнаружение угроз традиционными антивирусными средствами.
* — деятельность компании запрещена на территории РФ
