Анализ ситуации с мобильными угрозами в 2022 году показал: чаще всего под удар вредоносных кампаний попадают пользователи из Испании и Турции. При этом связка новых и уже известных банковских троянов всё активнее нацеливается на устройства Android, чтобы проворачивать так называемое мошенничество на самом устройстве (on-device fraud, ODF).
В список наиболее атакуемых стран также вошли Польша, Австралия, США, Германия, Великобритания, Италия, Франция и Португалия.
Мошенничество, которое трудно поймать
«Самый тревожный лейтмотив — растущее внимание злоумышленников к мошенничеству на самом устройстве», — говорится в отчёте нидерландской компании по кибербезопасности ThreatFabric, с которым ознакомилось издание The Hacker News. По данным исследователей, только за первые пять месяцев 2022 года число семейств вредоносных программ, использующих Android для проведения мошеннических операций прямо с устройства жертвы, выросло более чем на 40%. Такую схему почти невозможно распознать традиционными системами оценки транзакций, поскольку операция инициируется с настоящего телефона владельца.
По сути ODF позволяет использовать ранее украденные учётные данные, чтобы входить в банковские приложения и выполнять финансовые операции скрытно, от имени самого пользователя.
Самыми активными банковскими троянами за этот период по числу обнаруженных образцов стали Hydra, FluBot (он же Cabassous), Cerberus, Octo и ERMAC.
Зловреды под видом безобидных приложений
Тренд сопровождается регулярным появлением в Google Play Store приложений-дропперов, которые маскируются под безобидные утилиты и инструменты для повышения продуктивности, а на деле доставляют вредоносный код. Среди выявленных:
- Nano Cleaner (com.casualplay.leadbro)
- QuickScan (com.zynksoftware.docuscanapp)
- Chrome (com.talkleadihr)
- Play Store (com.girltold85)
- Pocket Screencaster (com.cutthousandjs)
- Chrome (com.biyitunixiko.populolo)
- Chrome (Mobile com.xifoforezuma.kebo)
- BAWAG PSK Security (com.qjlpfydjb.bpycogkzm)
Трояны при этом постоянно наращивают возможности. Так, Octo научился похищать учётные данные из поддельных экранов-накладок (overlay) ещё до того, как жертва нажимает кнопку входа. «Это сделано для того, чтобы получить данные, даже если жертва что-то заподозрила и закрыла накладку, не нажав фальшивую кнопку "войти"», — поясняют исследователи.
Троян ERMAC, впервые замеченный в сентябре прошлого года, получил собственные обновления: теперь он в автоматическом режиме вытягивает seed-фразы из разных криптовалютных кошельков, злоупотребляя службой специальных возможностей Android (Accessibility Service).
Слабое место Android
Именно Accessibility Service в последние годы стала ахиллесовой пятой Android: легитимный API позволяет злоумышленникам показывать поверх настоящих приложений поддельные экраны и перехватывать конфиденциальные данные. В прошлом году Google пыталась решить проблему, потребовав, чтобы объявлять себя инструментом специальных возможностей могли только сервисы, действительно помогающие людям с ограниченными возможностями.
В Android 13, который на тот момент был в стадии бета-тестирования, компания пошла дальше и ограничила доступ к API для приложений, установленных в обход магазина (sideload). Однако в ThreatFabric отметили, что легко обошли эти ограничения с помощью изменённого процесса установки — а значит, требуется более строгий подход.
Пользователям советуют скачивать приложения только из Google Play Store, не выдавать программам подозрительные разрешения без явной необходимости (например, калькулятору незачем доступ к списку контактов) и остерегаться фишинговых попыток установить сомнительные приложения.
«Открытость Android играет и во благо, и во вред: вредоносы продолжают злоупотреблять легитимными функциями, а грядущие ограничения, похоже, почти не мешают их злонамеренным замыслам», — заключают исследователи.
Источник: The Hacker News.