Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

TaxiSpy: банковский Android‑троян с функциями RAT и перехватом SMS

3 мин
TaxiSpy — это сложная кампания банковского вредоносного ПО для Android, которая сочетает в себе функции традиционного банковского трояна с полноценными возможностями трояна удаленного доступа (RAT). Аналитики обнаружили, что TaxiSpy представляет собой эволюцию мобильных банковских угроз: троян сочетает кражу учетных данных и финансовые мошенничества с полноценным набором функций удалённого контроля и шпионажа. Последние исследования выявили более 60 ранее не задокументированных образцов, что указывает на активную переупаковку и постоянную эволюцию проекта в целях обхода систем детекции. Опасность TaxiSpy выходит за пределы индивидуальных пользователей банковских приложений. Захват SMS и сбор учетных данных дают злоумышленникам возможность обходить механизмы многофакторной аутентификации и получать длительный доступ к корпоративным ресурсам. Для организаций это означает: Наблюдаемое поведение — регулярная переупаковка и выпуск новых образцов — характерно для современных Android‑угроз, к
Оглавление
TaxiSpy — это сложная кампания банковского вредоносного ПО для Android, которая сочетает в себе функции традиционного банковского трояна с полноценными возможностями трояна удаленного доступа (RAT).

Аналитики обнаружили, что TaxiSpy представляет собой эволюцию мобильных банковских угроз: троян сочетает кражу учетных данных и финансовые мошенничества с полноценным набором функций удалённого контроля и шпионажа. Последние исследования выявили более 60 ранее не задокументированных образцов, что указывает на активную переупаковку и постоянную эволюцию проекта в целях обхода систем детекции.

Что умеет TaxiSpy

  • Полноценный RAT‑функционал: удалённое управление устройством и выполнение команд со стороны оператора.
  • Перехват SMS: попытки стать стандартным обработчиком SMS для перехвата входящих сообщений, включая коды подтверждения.
  • Использование Accessibility services: мониторинг действий пользователя и автоматизация вредоносных сценариев ввода и управления приложениями.
  • Кража учетных данных и мониторинг финансовых приложений: сбор данных при взаимодействии пользователя с банковскими и корпоративными приложениями.
  • Экфильтрация данных и управление через инфраструктуру злоумышленников: обмен командами и отправка украденной информации на C2‑серверы.
  • Методы устойчивости: механизмы для сохранения присутствия и обхода стандартных мер обнаружения.

Почему это опасно для бизнеса

Опасность TaxiSpy выходит за пределы индивидуальных пользователей банковских приложений. Захват SMS и сбор учетных данных дают злоумышленникам возможность обходить механизмы многофакторной аутентификации и получать длительный доступ к корпоративным ресурсам. Для организаций это означает:

  • риск компрометации рабочих учётных записей и доступа к чувствительным данным;
  • возможность несанкционированных переводов и финансового мошенничества от имени сотрудников;
  • повышенную вероятность lateral movement внутри корпоративной сети через мобильные интерфейсы.

Тенденции и методы уклонения

Наблюдаемое поведение — регулярная переупаковка и выпуск новых образцов — характерно для современных Android‑угроз, которые эволюционируют в ответ на сигнатурные механизмы защиты. TaxiSpy демонстрирует тактику постоянного обновления, что затрудняет выявление угрозы традиционными антивирусными решениями.

Рекомендации по защите

Для минимизации риска заражения и снижения последствий компрометации рекомендуется:

  • внедрять решения поведенческого обнаружения на мобильных устройствах и защиты во время выполнения (runtime protection);
  • ограничивать использование Accessibility services и контролировать разрешения приложений на устройстве;
  • отслеживать попытки приложений установить себя стандартным обработчиком SMS;
  • внедрять политику управления мобильными устройствами (MDM) и ограничения установки приложений из неизвестных источников;
  • проводить регулярное обучение сотрудников по безопасности мобильных устройств и фишинговым атакам.

В частности, решения, такие как Zimperium, использующие механизмы динамического on‑device обнаружения, способны выявлять активность TaxiSpy в реальном времени, даже при изменении тактик злоумышленников. Именно подходы, ориентированные на обнаружение злонамеренного поведения на самом устройстве, становятся ключевыми для защиты целостности корпоративной инфраструктуры.

Вывод

TaxiSpy — яркий пример того, как мобильное вредоносное ПО превращается в комплексную платформу для шпионажа и финансовых атак. Постоянная модификация образцов и комбинирование RAT‑возможностей с перехватом SMS делают эту угрозу серьёзной для компаний, использующих мобильные устройства для доступа к корпоративным ресурсам. Организациям необходимо переходить от ситуативной защиты на основе сигнатур к постоянному мониторингу поведения мобильных приложений и внедрять runtime‑защиту на устройствах сотрудников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "TaxiSpy: банковский Android‑троян с функциями RAT и перехватом SMS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются