Мошенничество прямо со смартфона: банковские трояны для Android набирают силу

Анализ ситуации с мобильными угрозами в 2022 году показал: чаще всего под удар вредоносных кампаний попадают пользователи из Испании и Турции. При этом связка новых и уже известных банковских троянов всё активнее нацеливается на устройства Android, чтобы проворачивать так называемое мошенничество на самом устройстве (on-device fraud, ODF).

В список наиболее атакуемых стран также вошли Польша, Австралия, США, Германия, Великобритания, Италия, Франция и Португалия.

Мошенничество, которое трудно поймать

«Самый тревожный лейтмотив — растущее внимание злоумышленников к мошенничеству на самом устройстве», — говорится в отчёте нидерландской компании по кибербезопасности ThreatFabric, с которым ознакомилось издание The Hacker News. По данным исследователей, только за первые пять месяцев 2022 года число семейств вредоносных программ, использующих Android для проведения мошеннических операций прямо с устройства жертвы, выросло более чем на 40%. Такую схему почти невозможно распознать традиционными системами оценки транзакций, поскольку операция инициируется с настоящего телефона владельца.

По сути ODF позволяет использовать ранее украденные учётные данные, чтобы входить в банковские приложения и выполнять финансовые операции скрытно, от имени самого пользователя.

Самыми активными банковскими троянами за этот период по числу обнаруженных образцов стали Hydra, FluBot (он же Cabassous), Cerberus, Octo и ERMAC.

Зловреды под видом безобидных приложений

Тренд сопровождается регулярным появлением в Google Play Store приложений-дропперов, которые маскируются под безобидные утилиты и инструменты для повышения продуктивности, а на деле доставляют вредоносный код. Среди выявленных:

  • Nano Cleaner (com.casualplay.leadbro)
  • QuickScan (com.zynksoftware.docuscanapp)
  • Chrome (com.talkleadihr)
  • Play Store (com.girltold85)
  • Pocket Screencaster (com.cutthousandjs)
  • Chrome (com.biyitunixiko.populolo)
  • Chrome (Mobile com.xifoforezuma.kebo)
  • BAWAG PSK Security (com.qjlpfydjb.bpycogkzm)

Трояны при этом постоянно наращивают возможности. Так, Octo научился похищать учётные данные из поддельных экранов-накладок (overlay) ещё до того, как жертва нажимает кнопку входа. «Это сделано для того, чтобы получить данные, даже если жертва что-то заподозрила и закрыла накладку, не нажав фальшивую кнопку "войти"», — поясняют исследователи.

Троян ERMAC, впервые замеченный в сентябре прошлого года, получил собственные обновления: теперь он в автоматическом режиме вытягивает seed-фразы из разных криптовалютных кошельков, злоупотребляя службой специальных возможностей Android (Accessibility Service).

Слабое место Android

Именно Accessibility Service в последние годы стала ахиллесовой пятой Android: легитимный API позволяет злоумышленникам показывать поверх настоящих приложений поддельные экраны и перехватывать конфиденциальные данные. В прошлом году Google пыталась решить проблему, потребовав, чтобы объявлять себя инструментом специальных возможностей могли только сервисы, действительно помогающие людям с ограниченными возможностями.

В Android 13, который на тот момент был в стадии бета-тестирования, компания пошла дальше и ограничила доступ к API для приложений, установленных в обход магазина (sideload). Однако в ThreatFabric отметили, что легко обошли эти ограничения с помощью изменённого процесса установки — а значит, требуется более строгий подход.

Пользователям советуют скачивать приложения только из Google Play Store, не выдавать программам подозрительные разрешения без явной необходимости (например, калькулятору незачем доступ к списку контактов) и остерегаться фишинговых попыток установить сомнительные приложения.

«Открытость Android играет и во благо, и во вред: вредоносы продолжают злоупотреблять легитимными функциями, а грядущие ограничения, похоже, почти не мешают их злонамеренным замыслам», — заключают исследователи.

Источник: The Hacker News.