Расширение экосистемы банковского троянца Crocodilus: новые угрозы для Android-пользователей
Недавнее исследование выявило значительное расширение экосистемы вредоносного ПО Crocodilus — сложного банковского троянца для Android. Теперь стало известно о 17 новых троянах-дропперах и 21 образце семейства Banker, которые демонстрируют схожие с Crocodilus методы атаки. Это свидетельствует о динамичном развитии угрозы и требует повышенного внимания со стороны специалистов по кибербезопасности и конечных пользователей.
Основные методы атаки Crocodilus
Главная задача всех образцов Crocodilus — захват устройства и скрытое извлечение данных пользователя, прежде всего банковских учетных записей. Для этого троянец использует ряд передовых техник, среди которых:
- Запрос разрешений службы специальных возможностей при установке, что позволяет отслеживать запуск приложений и создавать ложные оверлеи;
- Overlay attacks — создание поверх других окон приложений поддельных интерфейсов для перехвата учетных данных;
- Кейлоггинг — регистрация вводимых пользователем символов;
- Возможности удаленного доступа, позволяющие злоумышленникам контролировать устройство;
- Режим скрытой работы, когда устройство отображает черный экран и приглушает звуки, чтобы не вызывать подозрений у пользователя.
Перехват одноразовых паролей и взаимодействие с банковскими приложениями
Особое внимание заслуживает способность Crocodilus перехватывать одноразовые пароли (OTP). Троян регистрирует события доступа к приложениям вроде Google Authenticator, позволяя злоумышленникам получить контроль над входом в банковские сервисы. Использование сервисов специальных возможностей и динамических наложений обеспечивает незаметный захват вводимых данных.
В недавно обнаруженных образцах семейства Banker дропперы внедряют скрытый APK-файл полезной нагрузки, который затем получает повышенные привилегии за счёт злоупотребления разрешениями. Это ведёт к масштабному банковскому мошенничеству и сбору данных пользователей.
Инновации в способах внедрения вредоносного кода
Стоит отметить, что в некоторых новых образцах Banker были обнаружены уникальные пользовательские библиотеки, которые значительно отличаются от предыдущих версий. В четырех конкретных случаях вредоносный код спрятан в файлах с расширением .png, содержащих зашифрованные данные. Во время выполнения специальный машинный код расшифровывает файл и загружает вредоносные компоненты в память, обеспечивая эффективное выполнение атак типичных для Crocodilus.
Выводы и рекомендации
Появление новых вариантов и тактик семейства Crocodilus подчёркивает эволюцию угроз и усиливает важность постоянного мониторинга ситуации в сфере мобильной безопасности. Специалисты рекомендуют:
- Регулярно обновлять операционную систему и приложения;
- Осторожно относиться к запросам разрешений, особенно служб специальных возможностей;
- Использовать многофакторную аутентификацию и специализированные антивирусные решения;
- Внимательно отслеживать необычное поведение устройства, такое как черный экран или приглушение звуков без очевидной причины.
Только комплексный и адаптивный подход к безопасности позволит эффективно противодействовать таким современным угрозам, как Crocodilus и его многочисленные вариации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция банковского троянца Crocodilus: новые угрозы Android".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.