Обнаружен троян DoubleTrouble, атакующий через Discord и нацеленный на мобильный банкинг

Image: CardMapr.nl (unsplash)
Эксперты компании Zimperium обнаружили новую волну атак вредоносного Android-ПО, получившего название DoubleTrouble. По их оценке, программа демонстрирует высокую активность на территории Европы и становится всё более технологически сложной. Исследователи проанализировали более 30 вариантов вредоносной нагрузки и сообщили, что последняя версия трояна использует Discord как канал для доставки заражённых APK-файлов, что значительно усложняет задачу блокировки.
Ранее DoubleTrouble распространялся через поддельные веб-сайты, маскирующиеся под интернет-банкинг известных финансовых организаций. В новом варианте злоумышленники переместили загрузку установщиков в инфраструктуру Discord. Использование этой платформы позволяет обходить фильтрацию и маскировать вредоносную активность под обычный пользовательский обмен файлами.
В отчёте, опубликованном исследователями Zimperium, подчёркивается, что троян получил расширенные возможности, направленные на сбор конфиденциальных данных, скрытую работу в системе и обход стандартных защитных механизмов мобильных устройств. DoubleTrouble притворяется легитимным приложением, используя фирменную иконку Google Play и запрашивая активацию специальных возможностей Android. Это позволяет ему получить доступ к широкому набору функций и работать в фоне без видимых признаков.
По словам специалистов, для маскировки полезной нагрузки используется структура APK-файла, где вредоносный код помещён в каталог resources/raw. Такая схема помогает избежать автоматического распознавания угроз на начальной стадии установки.
В текущей версии DoubleTrouble реализован целый набор техник для сбора и передачи чувствительной информации. Среди них:
- возможность вести запись экрана в реальном времени через MediaProjection и VirtualDisplay;
- отображение поддельных экранов блокировки с целью перехвата PIN-кодов, паролей и графических комбинаций;
- кейлоггинг, основанный на отслеживании событий доступности;
- блокировка приложений, относящихся к банковской сфере или служащих для защиты устройств;
- создание фишинговых интерфейсов, полностью имитирующих экраны входа в официальные приложения.
Передача данных, как указано в исследовании, осуществляется через зашифрованные каналы на удалённый сервер управления (C2). Среди перехваченной информации — данные из приложений интернет-банкинга, менеджеров паролей и цифровых кошельков.
Кроме этого, троян предоставляет злоумышленникам возможность в реальном времени транслировать содержимое экрана заражённого устройства. Такой подход позволяет обойти двухфакторную аутентификацию и видеть всё, что отображается перед пользователем, в точности как он сам.



