Обнаружены четыре новых варианта вредоносного ПО для Android, нацеленных на более чем 800 банковских приложений.
Четыре недавно обнаруженных штамма вредоносного ПО для Android незаметно атакуют более 800 финансовых приложений, используя сложные методы для кражи пользовательских данных.
Новое исследование американской компании Zimperium, специализирующейся на технологиях безопасности, выявило тревожную картину безопасности устройств Android, обнаружив четыре масштабные кампании вредоносного ПО, включая RecruitRat, SaferRat, Astrinox и Massiv.

По данным исследовательской группы zLabs по кибербезопасности, входящей в состав Zimperium, эти угрозы напрямую нацелены на более чем 800 банковских приложений и приложений для криптовалютных кошельков по всему миру, что потенциально может привести к краже персональных данных высокого уровня.
Четыре варианта вредоносного ПО с изощренными фишинговыми тактиками.
Эксперты утверждают, что каждое семейство вредоносных программ использует свой собственный метод заражения, но все они основаны на общих методах фишинга, таких как фишинг через поддельные веб-сайты и смишинг через SMS-сообщения.
SaferRat использует психологию пользователей, создавая поддельные веб-сайты, обещающие бесплатный доступ к платным стриминговым сервисам. Эти сайты выглядят в точности как настоящие, что позволяет жертвам легко вводить свои учетные данные, не вызывая подозрений.
Между тем, RecruitRat нацелен на соискателей работы. Хакеры создают поддельные сайты по поиску работы, а затем просят пользователей загрузить APK-файл, замаскированный под заявку на вакансию. После установки вредоносное ПО начинает работать незаметно.
Компания Astrinox выбрала другой подход, выдав себя за бизнес-инструмент под названием HireX и распространяя его через отдельный веб-сайт. Примечательно, что, хотя следы этой кампании ранее появлялись в App Store, исследователи подтвердили, что теперь она нацелена только на устройства Android.
В частности, Massiv представляет собой наиболее загадочный случай. Это вредоносное ПО настолько искусно замаскировано, что эксперты не смогли определить первоначальный способ его распространения, что свидетельствует о его опасном характере и сложности обнаружения.
Атаки с использованием наложенных окон — изощрённые методы кражи информации.
После проникновения в устройство вредоносная программа быстро применяет технику наложения интерфейса — распространенный, но чрезвычайно эффективный способ атаки. Когда пользователь открывает банковское приложение или электронный кошелек, поверх реального приложения появляется поддельный интерфейс.
Опасность заключается в том, что этот интерфейс выглядит в точности как оригинал. Когда пользователи вводят данные для входа или PIN-коды, эти данные отправляются напрямую хакерам, а не в официальную систему.
Кроме того, вредоносное ПО использует службы специальных возможностей (Accessibility Services), функцию, разработанную для помощи людям с ограниченными возможностями, чтобы получить полный контроль над устройством. Оно может отображать поддельные экраны, такие как «обновление системы» или «приложение зависло», чтобы отвлечь пользователей, тайно собирая данные.
Кража одноразовых паролей и отслеживание всей активности.
Одним из наиболее тревожных аспектов является его способность обходить распространенные меры безопасности, такие как одноразовые пароли (OTP). Эксперты обнаружили, что эти вредоносные программы могут перехватывать и читать SMS-сообщения в режиме реального времени, тем самым похищая коды двухфакторной аутентификации, которые считаются важнейшим уровнем защиты.
В частности, RecruitRat считается более опасным, поскольку содержит библиотеку из более чем 700 поддельных интерфейсов авторизации. При обнаружении запуска пользователем целевого приложения, программа автоматически отображает соответствующий интерфейс, чтобы обмануть его.
Кроме того, эти вредоносные программы используют методы перехвата нажатий клавиш для записи каждого касания экрана. Это позволяет хакерам собирать все учетные данные для входа в систему, содержимое сообщений и даже другие конфиденциальные данные.
Они поддерживают постоянное соединение с сервером управления и контроля через WebSockets, что позволяет хакерам отслеживать устройство в режиме реального времени и совершать атаки в наиболее подходящий момент.
Повышенный риск мошенничества и рекомендации по обеспечению безопасности.
Одновременное появление множества семейств вредоносных программ с постоянно совершенствующимися методами показывает, что экосистема Android становится привлекательной целью для киберпреступников, особенно в финансовом секторе и сфере криптовалют.
По мнению экспертов, пользователям следует проявлять особую осторожность в отношении ссылок, отправляемых по электронной почте или в текстовых сообщениях, особенно тех, которые носят срочный или необычайно привлекательный характер. Загрузка приложений из неофициальных источников, особенно APK-файлов, является одной из основных причин заражения.
Кроме того, пользователям следует:
— Устанавливайте приложения только из магазина Google Play или из проверенных источников.
— Внимательно проверьте права доступа, особенно права доступа для людей с ограниченными возможностями.
— Не вводите данные для входа, если наблюдаются какие-либо необычные признаки.
— Используйте проверенные решения для обеспечения безопасности мобильных устройств.
В условиях все более изощренных атак повышение осведомленности и пропаганда безопасных методов использования остаются наиболее эффективным «щитом» для защиты персональных данных.