TaxiSpy: банковский Android‑троян с функциями RAT и перехватом SMS

TaxiSpy — это сложная кампания банковского вредоносного ПО для Android, которая сочетает в себе функции традиционного банковского трояна с полноценными возможностями трояна удаленного доступа (RAT).

Аналитики обнаружили, что TaxiSpy представляет собой эволюцию мобильных банковских угроз: троян сочетает кражу учетных данных и финансовые мошенничества с полноценным набором функций удалённого контроля и шпионажа. Последние исследования выявили более 60 ранее не задокументированных образцов, что указывает на активную переупаковку и постоянную эволюцию проекта в целях обхода систем детекции.

Что умеет TaxiSpy

• Полноценный RAT‑функционал: удалённое управление устройством и выполнение команд со стороны оператора.
• Перехват SMS: попытки стать стандартным обработчиком SMS для перехвата входящих сообщений, включая коды подтверждения.
• Использование Accessibility services: мониторинг действий пользователя и автоматизация вредоносных сценариев ввода и управления приложениями.
• Кража учетных данных и мониторинг финансовых приложений: сбор данных при взаимодействии пользователя с банковскими и корпоративными приложениями.
• Экфильтрация данных и управление через инфраструктуру злоумышленников: обмен командами и отправка украденной информации на C2‑серверы.
• Методы устойчивости: механизмы для сохранения присутствия и обхода стандартных мер обнаружения.

Почему это опасно для бизнеса

Опасность TaxiSpy выходит за пределы индивидуальных пользователей банковских приложений. Захват SMS и сбор учетных данных дают злоумышленникам возможность обходить механизмы многофакторной аутентификации и получать длительный доступ к корпоративным ресурсам. Для организаций это означает:

• риск компрометации рабочих учётных записей и доступа к чувствительным данным;
• возможность несанкционированных переводов и финансового мошенничества от имени сотрудников;
• повышенную вероятность lateral movement внутри корпоративной сети через мобильные интерфейсы.

Тенденции и методы уклонения

Наблюдаемое поведение — регулярная переупаковка и выпуск новых образцов — характерно для современных Android‑угроз, которые эволюционируют в ответ на сигнатурные механизмы защиты. TaxiSpy демонстрирует тактику постоянного обновления, что затрудняет выявление угрозы традиционными антивирусными решениями.

Рекомендации по защите

Для минимизации риска заражения и снижения последствий компрометации рекомендуется:

• внедрять решения поведенческого обнаружения на мобильных устройствах и защиты во время выполнения (runtime protection);
• ограничивать использование Accessibility services и контролировать разрешения приложений на устройстве;
• отслеживать попытки приложений установить себя стандартным обработчиком SMS;
• внедрять политику управления мобильными устройствами (MDM) и ограничения установки приложений из неизвестных источников;
• проводить регулярное обучение сотрудников по безопасности мобильных устройств и фишинговым атакам.

В частности, решения, такие как Zimperium, использующие механизмы динамического on‑device обнаружения, способны выявлять активность TaxiSpy в реальном времени, даже при изменении тактик злоумышленников. Именно подходы, ориентированные на обнаружение злонамеренного поведения на самом устройстве, становятся ключевыми для защиты целостности корпоративной инфраструктуры.

Вывод

TaxiSpy — яркий пример того, как мобильное вредоносное ПО превращается в комплексную платформу для шпионажа и финансовых атак. Постоянная модификация образцов и комбинирование RAT‑возможностей с перехватом SMS делают эту угрозу серьёзной для компаний, использующих мобильные устройства для доступа к корпоративным ресурсам. Организациям необходимо переходить от ситуативной защиты на основе сигнатур к постоянному мониторингу поведения мобильных приложений и внедрять runtime‑защиту на устройствах сотрудников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.