Експерти предупреждават за нов Android троянец, насочен към банкови сметки
Изследователи по киберсигурност от Group-IB са анализирали нов вариант на Android троянеца RedHook, който използва усъвършенствани техники за получаване на почти пълен контрол над заразени устройства. Според доклада зловредният софтуер може да получи достъп до банкови приложения, въведени пароли, съдържанието на екрана и други чувствителни данни, като крайната цел е извършване на финансови измами.
Новата версия надгражда възможностите на RedHook, който беше идентифициран за първи път през миналата година. Освен нови механизми за избягване на засичане, тя използва Wireless Android Debug Bridge (ADB), за да получи разширени системни права без необходимост от физическа връзка с компютър.
Как протича атаката
Според анализа заразяването започва чрез фишинг съобщения, изпратени по SMS, електронна поща, телефонни обаждания или социални мрежи. Нападателите често се представят за представители на банки, държавни институции или популярни компании, за да убедят жертвата да отвори изпратения линк.
Потребителят попада на уебсайт, който визуално наподобява Google Play Store, но всъщност разпространява злонамерен APK файл. След инсталирането му приложението изисква разрешение Accessibility, като твърди, че то е необходимо за нормалната му работа.
След предоставянето на това разрешение троянецът автоматично активира Wireless ADB чрез настройките за разработчици и получава системен достъп с потребителски идентификатор (UID 2000), което значително разширява възможностите му.
Получава контрол над устройството
След успешното заразяване RedHook може дистанционно да управлява телефона. Сред възможностите му са:
- наблюдение на съдържанието на екрана;
- записване на въведените символи;
- управление на интерфейса чрез Accessibility;
- отключване на екрана;
- стрийминг на дисплея в реално време;
- изпълнение на различни команди чрез Wireless ADB.
Това позволява на нападателите да взаимодействат с банкови приложения и други чувствителни услуги практически така, сякаш използват устройството лично.
Нови механизми за прикриване
Според Group-IB новата версия използва няколко техники, които значително затрудняват откриването и премахването ѝ.
Една от тях е използването на WakeLock, който не позволява процесът да бъде прекратен лесно от операционната система. Освен това зловредният код създава почти невидим прозорец с размер 1×1 пиксел, чрез който Android приема приложението за активно и не го спира автоматично.
Допълнително RedHook използва механизъм, описан като two-service cross-process resurrection. При него два отделни процеса постоянно следят един друг и ако единият бъде прекратен, другият го стартира отново. Това прави премахването на троянеца значително по-трудно.
Засега атаките са концентрирани в Азия
По информация на Group-IB първите кампании са били насочени към потребители във Виетнам. Анализаторите обаче вече наблюдават признаци за разширяване на атаките към Индонезия и други държави в Югоизточна Азия.
Към момента няма данни за масови атаки срещу потребители в Европа, но използваните техники могат да бъдат приложени и в други региони.
Какво препоръчват експертите
Специалистите по сигурността препоръчват приложения да се инсталират само от официални източници като Google Play, както и внимателно да се проверяват всички искания за предоставяне на разрешения, особено тези за Accessibility.
Също така не бива да се отварят линкове, получени чрез SMS, електронна поща или социални мрежи, когато произходът им не е сигурен.
Google вече работи по допълнителни защитни механизми в Android, които ще ограничат достъпа до настройките за разработчици при активирана функция Advanced Protection, но към момента предпазливото поведение на потребителите остава най-ефективната защита.
Източник: Android Authority
