Хакеры атакуют 800 крипто- и банковских приложений на Android с почти нулевым обнаружением

Новая волна кибератак на Android-устройства

Специалисты по кибербезопасности из компании Zimperium зафиксировали масштабную кампанию, направленную на пользователей мобильных устройств под управлением операционной системы Android. Злоумышленники используют четыре активных семейства вредоносных программ для компрометации более 800 приложений в различных секторах, включая банковские услуги, криптовалютные платформы и социальные сети. Отличительной особенностью этих атак является применение продвинутых методов, позволяющих вредоносному ПО оставаться незамеченным традиционными системами безопасности.

По данным Zimperium, киберпреступники используют сложную инфраструктуру управления и контроля для выполнения ряда вредоносных действий. Среди них — кража учетных данных, проведение несанкционированных финансовых транзакций и массовая эксфильтрация конфиденциальных данных пользователей. Эти кампании представляют серьезную угрозу для финансовой безопасности и конфиденциальности миллионов владельцев Android-устройств.

Методы атак и обхода защиты

Исследователи Zimperium идентифицировали четыре основных семейства вредоносных программ, задействованных в этих атаках: RecruitRat, SaferRat, Astrinox и Massiv. Эти программы отличаются высокой степенью маскировки. Они применяют передовые методы антианализа и структурные изменения в APK-файлах (установочных пакетах Android-приложений), что позволяет им обходить сигнатурные механизмы обнаружения. В результате, уровень их обнаружения традиционными антивирусными решениями остается «почти нулевым».

Распространение вредоносного ПО осуществляется через различные каналы социальной инженерии. Злоумышленники активно используют фишинговые веб-сайты, поддельные предложения о работе, фальшивые обновления программного обеспечения, мошеннические SMS-сообщения и другие приманки, чтобы убедить жертв установить вредоносные приложения. После установки, малварь запрашивает расширенные разрешения, такие как доступ к функциям специальных возможностей (Accessibility permissions), скрывает свои иконки, блокирует попытки удаления и может перехватывать PIN-коды и пароли через поддельные экраны блокировки.

Особую опасность представляют так называемые «оверлейные атаки». Как отмечают в Zimperium, «оверлейные атаки остаются краеугольным камнем цикла сбора учетных данных. Используя службы доступности для мониторинга переднего плана, вредоносное ПО определяет точный момент запуска жертвой финансового приложения». В этот момент малварь загружает вредоносную HTML-страницу и накладывает ее поверх легитимного интерфейса приложения, создавая убедительную, но обманчивую имитацию. Это позволяет хакерам перехватывать логины, пароли и одноразовые коды.

Кроме того, некоторые варианты вредоносных программ используют HTTPS и WebSocket для маскировки вредоносного трафика под обычную активность приложений, а также применяют дополнительные уровни шифрования для уклонения от обнаружения.

Что это значит для пользователей из РФ и СНГ

Российские и СНГ-пользователи Android-устройств подвержены тем же рискам, что и пользователи по всему миру. Учитывая активное развитие криптовалютного рынка в регионе и рост числа пользователей мобильного банкинга, угроза кражи данных и средств становится особенно актуальной. Мошенники часто адаптируют свои фишинговые кампании под локальные особенности, используя русский язык и ссылки на популярные в регионе сервисы. Поэтому крайне важно проявлять бдительность при установке новых приложений, переходе по ссылкам из СМС или электронной почты, а также при вводе конфиденциальных данных.

Практические рекомендации для майнеров и криптоинвесторов

Для майнеров и криптоинвесторов, активно использующих мобильные приложения для управления активами, кошельками или мониторинга майнинговых ферм, эти угрозы особенно критичны. Рекомендуется использовать отдельные устройства для доступа к финансовым и криптовалютным приложениям, если это возможно. Всегда загружайте приложения только из официальных источников (Google Play Store) и внимательно проверяйте разрешения, которые запрашивает приложение. Избегайте установки приложений из сторонних источников (APK-файлов), особенно если они предлагаются по подозрительным ссылкам или в рамках сомнительных акций. Регулярно обновляйте операционную систему и все установленные приложения, чтобы получать последние патчи безопасности. Используйте надежные антивирусные решения для мобильных устройств и двухфакторную аутентификацию везде, где это возможно. Никогда не вводите свои учетные данные на страницах, которые выглядят подозрительно или отличаются от привычного интерфейса, даже если они появились поверх легитимного приложения.