Семейства Android-вредоносных программ нацелены на 800+ банковских и крипто-приложений с почти нулевыми показателями обнаружения: Zimperium

Новостное сообщение Gate News, 25 апреля — Компания по кибербезопасности Zimperium выявила четыре активные семейства вредоносных программ — RecruitRat, SaferRat, Astrinox и Massiv — нацеленные на более чем 800 приложений в банковском, криптовалютном и сегменте социальных сетей. В кампаниях используются передовые методы противодействия анализу и структурное подделывание APK, чтобы поддерживать почти нулевые показатели обнаружения против традиционных механизмов безопасности на основе сигнатур.

Злоумышленники используют фишинговые сайты, мошеннические предложения о работе, поддельные обновления ПО, SMS-аферы и рекламные приманки, чтобы обманом заставить пользователей установить вредоносные приложения для Android. После установки вредоносная программа запрашивает разрешения Accessibility, чтобы скрывать значки приложений, блокировать попытки удаления, красть PIN-коды и пароли через фальшивые экраны блокировки, перехватывать одноразовые коды, записывать живые экраны устройства и накладывать поддельные страницы входа поверх легитимных банковских или криптовалютных приложений.

Атаки с наложением составляют основу стратегии хищения учетных данных. Вредоносная программа отслеживает активное приложение с помощью служб Accessibility Services и определяет, когда жертва запускает финансовое приложение, после чего извлекает вредоносную HTML-загрузку и накладывает ее на легитимный интерфейс, создавая убедительную обманчивую витрину.

Кампании используют обмен данными по HTTPS и WebSocket, чтобы смешивать вредоносный трафик с обычной активностью приложений; в некоторых вариантах применяются дополнительные уровни шифрования, чтобы еще больше обходить обнаружение.