Эволюция банковского троянца Crocodilus: новые угрозы Android

Эволюция банковского троянца Crocodilus: новые угрозы Android

Источник: zimperium.com

Расширение экосистемы банковского троянца Crocodilus: новые угрозы для Android-пользователей

Недавнее исследование выявило значительное расширение экосистемы вредоносного ПО Crocodilus — сложного банковского троянца для Android. Теперь стало известно о 17 новых троянах-дропперах и 21 образце семейства Banker, которые демонстрируют схожие с Crocodilus методы атаки. Это свидетельствует о динамичном развитии угрозы и требует повышенного внимания со стороны специалистов по кибербезопасности и конечных пользователей.

Основные методы атаки Crocodilus

Главная задача всех образцов Crocodilus — захват устройства и скрытое извлечение данных пользователя, прежде всего банковских учетных записей. Для этого троянец использует ряд передовых техник, среди которых:

  • Запрос разрешений службы специальных возможностей при установке, что позволяет отслеживать запуск приложений и создавать ложные оверлеи;
  • Overlay attacks — создание поверх других окон приложений поддельных интерфейсов для перехвата учетных данных;
  • Кейлоггинг — регистрация вводимых пользователем символов;
  • Возможности удаленного доступа, позволяющие злоумышленникам контролировать устройство;
  • Режим скрытой работы, когда устройство отображает черный экран и приглушает звуки, чтобы не вызывать подозрений у пользователя.

Перехват одноразовых паролей и взаимодействие с банковскими приложениями

Особое внимание заслуживает способность Crocodilus перехватывать одноразовые пароли (OTP). Троян регистрирует события доступа к приложениям вроде Google Authenticator, позволяя злоумышленникам получить контроль над входом в банковские сервисы. Использование сервисов специальных возможностей и динамических наложений обеспечивает незаметный захват вводимых данных.

В недавно обнаруженных образцах семейства Banker дропперы внедряют скрытый APK-файл полезной нагрузки, который затем получает повышенные привилегии за счёт злоупотребления разрешениями. Это ведёт к масштабному банковскому мошенничеству и сбору данных пользователей.

Инновации в способах внедрения вредоносного кода

Стоит отметить, что в некоторых новых образцах Banker были обнаружены уникальные пользовательские библиотеки, которые значительно отличаются от предыдущих версий. В четырех конкретных случаях вредоносный код спрятан в файлах с расширением .png, содержащих зашифрованные данные. Во время выполнения специальный машинный код расшифровывает файл и загружает вредоносные компоненты в память, обеспечивая эффективное выполнение атак типичных для Crocodilus.

Выводы и рекомендации

Появление новых вариантов и тактик семейства Crocodilus подчёркивает эволюцию угроз и усиливает важность постоянного мониторинга ситуации в сфере мобильной безопасности. Специалисты рекомендуют:

  • Регулярно обновлять операционную систему и приложения;
  • Осторожно относиться к запросам разрешений, особенно служб специальных возможностей;
  • Использовать многофакторную аутентификацию и специализированные антивирусные решения;
  • Внимательно отслеживать необычное поведение устройства, такое как черный экран или приглушение звуков без очевидной причины.

Только комплексный и адаптивный подход к безопасности позволит эффективно противодействовать таким современным угрозам, как Crocodilus и его многочисленные вариации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: