Сімейства шкідливих програм для Android націлені на 800+ банківських і криптозастосунків із майже нульовими рівнями виявлення: Zimperium

Повідомлення Gate News, 25 квітня — Кібербезпекова компанія Zimperium виявила чотири активні сімейства шкідливих програм — RecruitRat, SaferRat, Astrinox і Massiv — які націлені більш ніж на 800 застосунків у сферах банкінгу, криптовалют і соціальних медіа. Кампанії використовують передові методи протидії аналізу та структурне втручання в APK, щоб підтримувати майже нульові рівні виявлення проти традиційних механізмів безпеки на основі сигнатур.

Атакувальники використовують фішингові вебсайти, шахрайські пропозиції роботи, фальшиві оновлення програм, афери зі SMS-повідомленнями та рекламні приманки, щоб обманути користувачів і змусити їх встановити шкідливі Android-застосунки. Після встановлення шкідливе ПЗ запитує дозволи Accessibility, щоб приховати значки застосунків, блокувати спроби видалення, викрадати PIN-коди та паролі через фальшиві екрани блокування, перехоплювати одноразові коди доступу, записувати зображення екрана живого пристрою та накладати підроблені сторінки входу на легітимні застосунки банкінгу або криптовалют.

Накладення атак формує основу стратегії викрадення облікових даних. Шкідливе ПЗ відстежує активне вікно за допомогою Accessibility Services і виявляє, коли жертва запускає фінансовий застосунок, а потім отримує шкідливий HTML-пейлоад і накладає його на легітимний інтерфейс, щоб створити переконливу оманливу «вітрину».

Кампанії використовують HTTPS і WebSocket-зв’язок, щоб змішувати шкідливий трафік із нормальною активністю застосунку; деякі варіанти застосовують додаткові шари шифрування, щоб ще більше обходити виявлення.