Натиск вредоносного программного обеспечения угрожает цифровым финансовым платформам и онлайн-хранилищам.

Исследователи кибербезопасности обнаружили четыре активных семейства вредоносных программ для Android, нацеленных на более чем 800 приложений, включая криптовалютные кошельки и банковские приложения. Эти вредоносные программы используют методы, которые не могут обнаружить большинство традиционных инструментов безопасности.

Команда zLabs компании Zimperium опубликовала результаты отслеживания троянов, известных как RecruitRat, SaferRat, Astrinox и Massiv.

Согласно исследованию компании, каждая семья имеет собственную сеть управления и контроля, которую они используют для кражи данных для входа, перехвата финансовых транзакций и получения пользовательских данных с зараженных устройств.

Криптовалютные и банковские приложения сталкиваются с новыми угрозами со стороны множества вредоносных программ

Семейства вредоносных программ представляют собой прямую угрозу для всех, кто управляет криптовалютой на Android.

После установки трояны могут размещать поддельные экраны входа в систему поверх реальных криптографических и банковских приложений, похищая пароли и другую личную информацию в режиме реального времени. Затем вредоносное ПО помещает поддельную HTML-страницу поверх реального интерфейса приложения, создавая то, что компания назвала «очень убедительным и обманчивым фасадом».

«Используя службы доступности для мониторинга переднего плана, вредоносное ПО определяет точный момент, когда жертва запускает финансовое приложение», — пишут исследователи безопасности из Zimperium.

Согласно отчету, трояны могут делать больше, чем просто красть учетные данные. Они также могут перехватывать одноразовые пароли, транслировать экран устройства злоумышленникам, скрывать значки собственных приложений и мешать людям удалить их.

В каждой кампании используется своя наживка, чтобы заставить людей на нее попасться.

SaferRat распространялся с помощью поддельных веб-сайтов, обещавших бесплатный доступ к потоковым сервисам премиум-класса. RecruitRat скрывал свою полезную нагрузку в процессе подачи заявления на работу, отправляя цели на фишинговые сайты, которые просили их загрузить вредоносный APK-файл.

Astrinox использовала тот же метод набора персонала, используя домен xhire[.]cc. В зависимости от устройства, которое использовалось для посещения этого сайта, на нем отображался разный контент.

Пользователям Android было предложено загрузить APK, а пользователи iOS увидели страницу, похожую на Apple App Store. Однако исследователи безопасности не нашли доказательств того, что iOS действительно была взломана.

Не удалось подтвердить, как Массив распространялся в ходе исследовательского цикла.

Все четыре трояна использовали фишинговую инфраструктуру, мошенничество с текстовыми сообщениями и социальную инженерию, которые играли на потребности людей действовать быстро или на их любопытстве, чтобы заставить их загружать вредоносные приложения.

Крипто-вредоносное ПО ускользает от обнаружения

Кампании направлены на то, чтобы обойти инструменты безопасности.

Исследователи обнаружили, что семейства вредоносных программ используют передовые методы антианализа и структурное вмешательство в пакеты приложений Android (APK), чтобы поддерживать то, что компания назвала «почти нулевым уровнем обнаружения по сравнению с традиционными механизмами безопасности на основе сигнатур».

Сетевые коммуникации также смешиваются с обычным трафиком. Трояны используют соединения HTTPS и WebSocket для связи со своими командными серверами. Некоторые версии добавляют дополнительные уровни шифрования поверх этих соединений.

Еще одна важная вещь — настойчивость. Современные банковские трояны для Android больше не используют простые одноэтапные заражения. Вместо этого они используют многоэтапные процессы установки, призванные обойти изменяющуюся модель разрешений Android, из-за которой приложениям становится сложнее выполнять действия без явного разрешения пользователя.

В отчете не указаны конкретные криптокошельки или биржи в рамках более 800 целевых приложений. Но из-за наложенных атак, перехвата паролей и потоковой передачи экрана любое криптографическое приложение на базе Android может оказаться под угрозой, если пользователь установит вредоносный APK-файл из-за пределов Google Play Store.

Загрузка приложений по ссылкам в текстовых сообщениях, объявлениях о вакансиях или рекламных сайтах по-прежнему остается одним из гарантированных способов проникновения мобильного вредоносного ПО в смартфон.

Людям, которые управляют своей криптовалютой на устройствах Android, следует использовать только официальные магазины приложений и опасаться всплывающих сообщений с просьбой скачать что-либо.