СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27 апреля
#ИБ

KYCShadow: банковский Android-троян крадёт данные через WhatsApp

Банковское вредоносное ПО для Android под названием KYCShadow действует как многоступенчатый dropper и распространяется под видом приложения для проверки KYC. По данным отчета, кампания в первую очередь нацелена на пользователей в Индии и использует WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) как основной канал социальной инженерии.

Заражение начинается с вводящего в заблуждение экрана “Требуется обновление”. После этого вредоносное приложение последовательно разворачивает дополнительную payload, применяя сочетание обмана, злоупотребления разрешениями и сетевых механизмов, включая активацию VPN, через который трафик может проходить по инфраструктуре, контролируемой злоумышленниками.

Как устроен KYCShadow

Аналитики описывают KYCShadow как модульный Android-ВПО, состоящий из двух основных компонентов:

  • loader — компонент, отвечающий за расшифровку вторичной payload;
  • основная payload — модуль, который получает доступ к функциям перехвата и фишинга.

Загрузчик, идентифицированный как com.*appad.andr, расшифровывает вторичную payload com.am5maw3.android и запускает ее без видимости для пользователя. Для связи с командным центром злоумышленников используется Firebase Cloud Messaging, что позволяет удаленно отправлять команды на зараженное устройство.

Постоянный C2 server размещен по адресу jsonapi.biz. Такая архитектура соответствует модульному подходу, характерному для финансово мотивированных вредоносных кампаний.

Что делает вредоносная payload

После активации вторичная payload получает набор опасных возможностей, позволяющих не только собирать данные, но и управлять устройством жертвы. Среди них:

  • перехват SMS;
  • управление voice calls;
  • выполнение USSD-команд;
  • сложный phishing через интерфейс WebView.

Приложение нацелено на сбор конфиденциальной информации, включая:

  • номера мобильных телефонов;
  • PIN-коды банкоматов;
  • реквизиты Aadhaar;
  • учетные данные карт.

Для этого используются поэтапные phishing-workflow, имитирующие легитимные банковские операции и создающие у жертвы ощущение взаимодействия с настоящим сервисом.

Методы сокрытия и обхода защиты

KYCShadow использует продвинутые методы obfuscation. В частности, сведения о конфигурации, включая C2 endpoints и encryption keys, встроены в собственную библиотеку libnative-lib.so. Это существенно усложняет как static analysis, так и dynamic analysis.

Для извлечения payload во время выполнения применяется XOR-based decryption. Кроме того, ВПО способно перехватывать трафик в реальном времени через пользовательский VPN service, что позволяет злоумышленникам отслеживать и манипулировать сетевым трафиком устройства, избегая при этом обнаружения средствами безопасности.

Еще одна важная деталь — обход функций оптимизации батареи. Это дает ВПО возможность сохранять активность в background и повышает устойчивость вредоносного процесса на устройстве.

Связь с другими финансовыми схемами

Отдельное значение в отчете придается связи KYCShadow с более ранними операциями по финансовому мошенничеству, включая кампании, связанные с eChallan. Использование схожей инфраструктуры и похожих методов указывает на преемственность между кампаниями и может свидетельствовать о том, что их разрабатывает один и тот же threat actor или связанная группа.

По оценке аналитиков, злоумышленники опираются на масштабную social engineering и распространение ВПО через messaging platforms, чтобы поддерживать широкомасштабные финансовые аферы в регионе. Это указывает на организованный характер кибермошенничества, а не на разрозненные одиночные атаки.

Почему эта кампания опасна

KYCShadow демонстрирует комплексный подход к мобильному ВПО: сочетание социальной инженерии, обфускации, устойчивости в системе и возможностей скрытого перехвата данных делает кампанию особенно опасной. Вредоносное ПО эффективно маскируется под легитимное банковское приложение и использует доверие пользователей к KYC-процедурам.

Основной вывод отчета заключается в том, что для защиты от подобных угроз требуется не только усиление технических мер безопасности, но и повышение осведомленности пользователей о рисках, связанных с мобильными permissions и online financial transactions.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: