Ako svakodnevno koristite Android telefon online bankarstvo, društvene mreže ili kriptokutencijeTrebali biste vrlo ozbiljno shvatiti ono što ćete pročitati. Posljednjih mjeseci pojavilo se nekoliko izuzetno naprednih porodica zlonamjernog softvera - FvncBot, SeedSnatcher i poboljšana verzija ClayRata - koji su mobilne napade podigli na viši nivo kombinirajući socijalni inženjering, daljinsko upravljanje uređajima i masovnu krađu osjetljivih podataka.
Za razliku od virusa koji su samo prikazivali dosadne oglase, ovi Trojanci su sposobni preuzeti gotovo potpunu kontrolu nad telefonom, isprazniti kripto novčanike, ukrasti bankovne podatke i špijunirati žrtvu sa sofisticiranošću uporedivom (ili većom) od mnogih napada na računare. Vidjet ćemo jasno, ali detaljno, kako funkcionišu, koje tehnike imaju zajedničke i šta možete učiniti da spriječite da vaš mobilni telefon postane alat za napadače.
Sve agresivniji krajolik mobilnih prijetnji
Android ekosistem je gigantski, s milijardama uređaja koji njime upravljaju. plaćanja, 2FA autentifikacija, privatna komunikacija i pristup korporativnim sistemimaOva sveprisutnost učinila je Android omiljenom metom kriminalnih bandi, finansijskih prevaranata i APT grupa sa mogućom podrškom države.
Sigurnosne laboratorije kao što su Intel 471, CYFIRMA i Zimperium dokumentovale su... ubrzana evolucija Android malware-agdje fokus više nije isključivo na kućnim korisnicima. Sve češće kampanje ciljaju zaposlenike kompanija, profile s privilegiranim pristupom ili korisnike koji rukuju velikim svotama novca u bankarstvu i kriptovalutama.
U tom kontekstu, tri specifične porodice su dobile na značaju: FvncBot, SeedSnatcher i ClayRatSvaka od njih je specijalizirana za određeno područje (tradicionalno bankarstvo, kriptovalute ili uporna špijunaža), ali dijele zajednički pristup: da bi prošli neotkriveni, zloupotrebljavaju legitimne Android funkcije - posebno pristupačnost i prekrivače ekrana - i izvući što više informacija uz održavanje kontrole nad uređajem.
Napadači su usavršili upotrebu obfusirane aplikacije za ubacivanje, servisi za šifriranje poput apk0day, kanali za razmjenu poruka poput Telegrama i visoko dotjerani phishing domeni koje savršeno oponašaju popularne web stranice i aplikacije (YouTube, WhatsApp, aplikacije za taksi, kripto novčanike itd.). Za prosječnog korisnika, razlikovanje legitimne aplikacije od manipulirane postaje sve teže.
FvncBot: bankarski trojanac s daljinskim upravljanjem tipa VNC
FvncBot je Bankarski trojanac i RAT za Android razvijeni od nulebez recikliranja koda procurelog iz drugih zlonamjernih programa kao što je ERMAC. Njihova glavna javna kampanja usmjerena je na korisnike mobilnog bankarstva mBank u Poljskoj, gdje se lažno predstavlja kao navodna službena sigurnosna aplikacija povezana s bankom.
Lažna aplikacija djeluje kao Dropper je zaštićen uslugom šifriranja/obfuskacije pod nazivom apk0day, koju nudi Golden Crypt.Ova usluga pakuje kod na način koji znatno otežava statičku analizu i detekciju potpisa. Nakon otvaranja aplikacije, pojavljuje se obavještenje koje korisnika podstiče da instalira očiglednu "Google Play komponentu" namijenjenu poboljšanju stabilnosti ili sigurnosti sistema.
U stvari, ta komponenta je Korisni teret FvncBot-aZlonamjerni softver koristi pristup zasnovan na sesiji kako bi zaobišao ograničenja koja Android 13 i novije verzije nameću korištenju usluga pristupačnosti od strane aplikacija preuzetih izvan Google Playa. Na taj način, čak i na novijim verzijama sistema, uspijeva aktivirati dozvole koje su mu potrebne za pregled i kontrolu gotovo svega na uređaju.
Nakon implementacije, FvncBot traži od korisnika da odobri dozvole za usluge pristupačnostiAko žrtva pristane, trojanac dobija vrlo visoke privilegije: može čitati šta se pojavljuje na ekranu, detektovati koje su aplikacije otvorene, simulirati dodire i geste, prikazivati prozore preko drugih aplikacija i snimati pritiske tipki u osjetljivim oblicima, kao što su prijave u banku ili platne usluge.
Tokom svog izvršavanja, zlonamjerni softver šalje zapise o događajima na udaljeni server pod domenom naleymilva.it.comAnalizirani uzorci pokazali su identifikator verzije „call_pl“, koji ukazuje na Poljsku kao ciljnu zemlju, i verziju konfigurisanu kao „1.0-P“, što ukazuje da se radi o porodici proizvoda koja je još uvijek u ranim fazama razvoja i, stoga, sa prostorom za daljnje dodavanje mogućnosti.
Nakon registracije uređaja, FvncBot se povezuje sa svojom komandnom i kontrolnom infrastrukturom koristeći HTTP i usluga Firebase Cloud Messaging (FCM)Putem ovih kanala prima naredbe u realnom vremenu i može mijenjati svoje ponašanje u hodu, aktivirajući ili deaktivirajući module ovisno o vrsti žrtve ili određenoj kampanji.
Među mogućnosti Dokumentovano je sljedeće:
- Kapacitet za Pokrenite ili zaustavite WebSocket veze koje omogućavaju daljinsko upravljanje uređajem., prevlačenjem, dodirivanjem, skrolanjem ili otvaranjem aplikacija kao da napadač ima mobilni telefon u ruci.
- Izbacivanje događaji pristupačnosti, lista instaliranih aplikacija i informacije o uređaju (model, verzija Androida, konfiguracija bota, itd.).
- Primanje specifičnih konfiguracija za prikaz zlonamjernih slojeva preko cijelog ekrana na odabranim aplikacijamauglavnom bankarske ili platne aplikacije.
- Skrivanje ovih preklapanja u povoljnom trenutku tako da žrtva jedva primjećuje čudno ponašanje.
- Zloupotreba usluga pristupačnosti za zabilježite pritiske tipki i podatke unesene u kritične obrasce.
- Upotreba API-ja MediaProjection za prenos sadržaja ekrana u realnom vremenuOvo omogućava napadačima da tačno vide šta korisnik radi, čak i u aplikacijama koje blokiraju snimke ekrana sa zastavom FLAG_SECURE.
Osim toga, FvncBot ima "tekstualni način rada" koji mu omogućava da analizirati dizajn i vidljivi sadržaj interfejsa čak i kada se ne mogu napraviti konvencionalni snimciOvo vam omogućava da pregledate polja za unos, dugmad i sigurnosne poruke u posebno zaštićenim aplikacijama.
Trenutno nema javne potvrde o njegovoj primarnoj metodi distribucije, ali, na osnovu sličnosti s drugim porodicama bankarskih trojanaca, vrlo je vjerovatno da se oslanja na smishing kampanje (phishing SMS), linkovi poslani putem instant poruka i trgovine aplikacija trećih strana gdje se postavljaju zlonamjerni klonovi poznatih aplikacija ili lažnih sigurnosnih alata.
Iako je trenutna konfiguracija usmjerena na Poljski korisnik mBankeModularni dizajn FvncBota olakšava napadačima prilagođavanje jezika, logotipa, predložaka, pa čak i ciljanje banaka bez napora. Ne bi bilo iznenađujuće da se u kratkom vremenu razvije u kampanje u drugim zemljama ili protiv različitih banaka.
SeedSnatcher: kradljivac početnih fraza i 2FA koda
Ako FvncBot usmjeri svoju pažnju na tradicionalno bankarstvo, SeedSnatcher direktno cilja na kripto ekosistem.Ovo je infostealer za Android dizajniran za krađu seed fraza novčanika, privatnih ključeva i bilo kojih informacija koje omogućavaju preuzimanje kontrole nad kriptovalutnim novčanicima, kao i drugih osjetljivih podataka s uređaja.
SeedSnatcher se prvenstveno distribuira putem Telegram i drugi društveni kanali, prikriveni pod imenom „Coin“ ili druga imena koja sugeriraju investicijske alate, aplikacije za upravljanje kriptovalutama ili pristup ekskluzivnim promocijama. Napadači šire linkove do navodno legitimnih APK-ova u javnim i privatnim grupama vezanim za trgovanje, NFT-ove ili vijesti o blockchainu.
Zlonamjerna aplikacija je dizajnirana da ne izazove sumnju prilikom ulaska: obično Prilikom instalacije zahtijeva vrlo malo dozvola, posebno pristup SMS-u ili naizgled bezopasnim opcijama.Ovaj pristup pomaže u zaobilaženju sigurnosnih rješenja koja upozoravaju na masovne zahtjeve za dozvolama od prvog pokretanja.
Međutim, iza kulisa, SeedSnatcher počinje primjenjivati svoj arsenal. Njegovi programeri su uključili tehnike kao što su dinamičko učitavanje klasa i ubrizgavanje skrivenog sadržaja u WebViewOvo omogućava aplikaciji da preuzme dodatne module sa komandnog i kontrolnog servera, da se modificira u hodu i aktivira funkcije samo kada otkrije da žrtva otvara određene aplikacije povezane s kriptovalutama.
Jedna od njegovih najopasnijih sposobnosti je generisanje izuzetno uvjerljivi phishing slojevi Ove prevare oponašaju izgled poznatih kripto novčanika, mjenjačnica ili ekrana za oporavak računa. Korisnik vjeruje da vraća svoj novčanik ili potvrđuje svoj identitet, ali u stvarnosti napadačima predaje svoju početnu frazu ili privatni ključ.
Pored sjemena za oporavak, SeedSnatcher može presretanje dolaznih SMS poruka radi hvatanja kodova za dvofaktorsku autentifikaciju (2FA)Ovo olakšava otimanje računa na mjenjačnicama, platformama za trgovanje ili čak drugim servisima koji i dalje koriste SMS kao drugi faktor.
Zlonamjerni softver je također pripremljen za Izvucite opsežne informacije s uređaja: kontakte, zapise poziva, lokalne datoteke i druge podatke od interesa koji se mogu ponovo upotrijebiti u budućim prevarama, iznudama ili prodajnim kampanjama na ilegalnim forumima.
Istrage pripisane CYFIRMA-i ukazuju na to da bi operateri SeedSnatcher-a bili grupe sa sjedištem u Kini ili koje govore kineski, na osnovu uputstava i dokumentacije na tom jeziku prisutnih i u kontrolnoj tabli kradljivca i u porukama podijeljenim putem Telegrama.
SeedSnatcher-ov obrazac eskalacije privilegija je vrlo proračunat: počinje sa minimalne dozvole Da bi ostao neotkriven, kasnije traži dozvolu za pristup upravitelju datoteka, prikazu slojeva, čitanju kontakata, pregledu zapisa poziva i drugim kritičnim resursima. Svaki zahtjev je prikriven kao da je neophodan za legitimnu funkciju, smanjujući vjerovatnoću sumnje korisnika.
Kombinacija vizualne obmane, krađe SMS-ova, potencijalnog praćenja međuspremnika i tihog krađe podataka čini SeedSnatcher... Kritična prijetnja za svakoga ko upravlja kriptovalutama sa svog mobilnog uređajaposebno novčanike koji nisu zaduženi za čuvanje podataka, zasnovane na seed frazama koje, jednom kada budu kompromitovane, omogućavaju napadaču da iscrpi sredstva bez mogućnosti povrata.
ClayRat: modularni špijunski softver i gotovo potpuna kontrola uređaja
ClayRat je Modularni špijunski softver za Android koji se brzo razvio sve dok nije postao jedan od najopasnijih alata za mobilni nadzor na trenutnoj sceni. U početku je bio usmjeren na specifična tržišta (posebno ruske korisnike), ali nedavne varijante pokazuju kvalitativni skok u mogućnostima, upornosti i geografskom dosegu.
Njegova distribucija se zasniva na mješavini kampanje u telegram i pažljivo dizajnirane phishing web stranice Ove web stranice se lažno predstavljaju kao dobro poznate usluge. Promoviraju popularne aplikacije - kao što su WhatsApp, Google Photos, TikTok ili YouTube - i prikazuju lažne recenzije, pozitivne ocjene i napuhane brojke preuzimanja kako bi pojačale osjećaj legitimnosti.
Ono što korisnik zapravo preuzima obično nije sam špijunski softver, već lagani dropper koji sadrži skriveni i šifrirani zlonamjerni softverOvaj program za ubacivanje virusa može se maskirati kao jednostavna video aplikacija, navodno poboljšani klijent ili koristan alat. Nakon instalacije, dešifrira i oslobađa zlonamjerni sadržaj, zaobilazeći neke sigurnosne kontrole sistema.
Istraživanje Zimperium zLabsa i drugih timova otkrilo je da ClayRat Dvostruko zloupotrebljava usluge pristupačnosti i zadane SMS dozvolePostavši zadana SMS aplikacija, može čitati, pisati i slati poruke bez znanja korisnika, presrećući 2FA kodove, manipulirajući razgovorima i koristeći ih kao vektor za širenje zaraze.
Najnovije verzije uključuju širok spektar funkcija. repertoara naprednih funkcija:
- Keylogging, snimci ekrana i snimanje cijelog ekrana, što omogućava rekonstrukciju gotovo svega što žrtva radi.
- Pristup pozivi, obavještenja, historija, fotografije s prednje kamere i drugi privatni podaci, s mogućnošću njihovog otpremanja na komandni i kontrolni server.
- Kapacitet za snimajte slike prednjom kamerom i tiho ih izvlačite, nešto posebno invazivno jer je usmjereno direktno na lice žrtve.
- Raspoređivanje slojevi koji simuliraju ažuriranja sistema, crne ekrane ili poruke o održavanju, koristi se za maskiranje zlonamjernih aktivnosti dok napadači upravljaju uređajem u pozadini.
- Generacija lažne interaktivne obavijesti koji izgledaju kao da dolaze iz sistema ili legitimnih aplikacija i koji služe za prikupljanje odgovora, kodova i pritisaka tipki.
Jedan posebno uznemirujući aspekt je ClayRatova sposobnost da Uređaj će se automatski otključati čak i ako koristite PIN, lozinku ili uzorak.Kombinacijom pristupačnosti, prepoznavanja rasporeda ekrana i automatizacije gestikulacije, zlonamjerni softver uspijeva zaobići zaključani ekran i upravljati mobilnim telefonom bez interakcije korisnika.
Pored špijuniranja, ClayRat pretvara svaki zaraženi računar u automatizirani distributivni čvorMožete slati SMS poruke sa zlonamjernim linkovima kontaktima pohranjenim na telefonu, iskorištavajući povjerenje koje se daje porukama primljenim s poznatog broja. Ovo omogućava brzo i široko rasprostranjeno širenje bez potrebe da napadači imaju veliku dodatnu infrastrukturu.
Upotreba najmanje 25 phishing domena koje imitiraju legitimne servise poput YouTubeanudi navodnu "Pro" verziju s reprodukcijom u pozadini i podrškom za 4K HDR. Otkrivene su i aplikacije za premještanje koje se lažno predstavljaju kao ta aplikacija. Ruske aplikacije za taksi i parkiranje, replicirajući imena, ikone i opise kako bi obmanuli lokalne korisnike.
Proširenje ClayRatovih mogućnosti - od jednostavnog izvlačenja podataka do potpuno preuzimanje uređaja s trajnim preklapanjima i automatskim otključavanjem— čini ovu najnoviju varijantu još opasnijom od prethodnih, kod kojih je barem postojala neka mogućnost da žrtva otkrije čudnu aktivnost, deinstalira aplikaciju ili na vrijeme isključi mobilni telefon.
Uobičajene tehnike: pristupačnost, preklapanja i napredno izbjegavanje
Iako FvncBot, SeedSnatcher i ClayRat teže donekle različitim ciljevima, oni se oslanjaju na skup dijele taktike i tehnike koje objašnjavaju zašto imaju toliko uspjeha u stvarnim kampanjama.
Prvo, ono ističe sistematska zloupotreba usluga pristupačnosti AndroidaOva funkcionalnost je dizajnirana da pomogne korisnicima s invaliditetom da komuniciraju s uređajem, ali, ako se zloupotrebi, napadačima daje mogućnost da čitaju šta se pojavljuje na ekranu, detektuju promjene u interfejsu, automatizuju geste i, u praksi, kontrolišu mobilni telefon gotovo kao da je njihov vlastiti.
Drugi stub je prekrivajuće elemente koji zamjenjuju legitimne interfejse preko cijelog ekrana ili djelomične interfejsePostavljanjem lažnog sloja preko stvarne aplikacije - bilo da se radi o banci, kripto novčaniku ili popularnoj usluzi - napadači hvataju akreditive, lične podatke, brojeve kartica ili početne fraze bez potrebe da ugroze originalnu aplikaciju. Korisnik vjeruje da komunicira s uobičajenom aplikacijom, ali u stvarnosti tipka na ekranu kojim upravlja zlonamjerni softver.
Treće, ove porodice pribjegavaju visoko razvijene tehnike izbjegavanjaZatamnjivanje i šifriranje koda korištenjem servisa poput apk0day, dinamičko učitavanje klasa koje se preuzimaju samo kada je potrebno, tiho ubrizgavanje sadržaja u WebView i korištenje instrukcija naredbi zasnovanih na cijelim brojevima kako bi promet bio manje očigledan sistemima za praćenje.
Komunikacija sa komandnim i kontrolnim serverima također je postala sofisticiranija. Mnogi od ovih trojanaca koriste Firebase Cloud Messaging za primanje narudžbi, WebSocket veze za kontrolu u stvarnom vremenu i izvlačenje podataka putem HTTP-a ili HTTPS-a, miješajući svoj zlonamjerni promet s legitimnim prometom drugih aplikacija, što komplicira njegovo otkrivanje na korporativnim i kućnim mrežama.
Sve navedeno dopunjeno je sa vrlo pažljiv rad na socijalnom inženjeringuNapadači kreiraju aplikacije koje oponašaju komponente Google Playa, sigurnosne alate, službene bankarske aplikacije, "Pro" verzije poznatih platformi ili popularne usluge poput taksija, parkinga i digitalnih novčanika. Cilj je smanjiti oprez korisnika kako bi prihvatili kritične instalacije i dozvole gotovo bez čitanja.
Kako se vaš Android uređaj može zaraziti i koji su znaci potencijalne kompromitacije?
Uprkos svoj tehnologiji koja stoji iza njih, početna tačka je obično uvijek ista: uvjeriti korisnika da ručno instalira APK ili odobri opasne dozvoleDa bi to postigli, oslanjaju se na smiling poruke, kampanje na društvenim mrežama, forume, Telegram grupe ili stranice koje obećavaju neodoljive prednosti (besplatne plaćene aplikacije, verzije bez reklama, investicijske prilike itd.).
Kada žrtva jednom bude prevarena obećanjem, Preuzmite APK sa neslužbenog izvorapritisnite "Instaliraj", a zatim Prihvata dozvole za pristup, pristup putem SMS-a, preklapanja i zadanu ulogu aplikacije za određene usluge (kao što je razmjena poruka). Odatle, veliki dio kontrole prelazi u ruke zlonamjernog softvera, koji će pokušati djelovati tiho kako ne bi izazvao sumnju.
Uprkos tome, postoji niz indikatori posvećenosti koje treba pratiti:
- Nenormalna potrošnja baterije i pregrijavanje mobilnog telefona bez očigledne intenzivne upotrebe.
- Značajno povećanje mobilnog ili Wi-Fi podatkovnog prometa bez jasnog objašnjenja.
- Izgled aplikacije kojih se ne sjećate da ste ih instalirali ili promjene zadanih aplikacija za SMS, bankarstvo ili razmjenu poruka.
- Neočekivana gašenja, rušenja ili čudno ponašanje u ključnim aplikacijama kao što su bankarstvo, novčanici, društvene mreže ili razmjena poruka.
- Neobični dijaloški okviri za dozvole, posebno oni koji se odnose na pristupačnost, SMS ili upravljanje uređajima.
- Upozorenja za sumnjive prijave ili neuobičajene promjene lokacije na vašim cloud računima, kripto uslugama ili online bankarstvu.
Ako primijetite nekoliko ovih simptoma, mudro je da obavite pregled. potpuno skeniranje sa pouzdano rješenje za mobilnu sigurnostRučno pregledajte listu instaliranih aplikacija (uključujući i one sa generičkim ikonama ili čudnim nazivima) i, ako je situacija ozbiljna, razmislite o fabričkom resetovanju nakon što napravite sigurnosnu kopiju samo osnovnih podataka.
Najbolje prakse za zaštitu vašeg mobilnog telefona od FvncBot-a, SeedSnatcher-a i ClayRat-a
Najbolja odbrana od ovih prijetnji kombinuje tehnologiju i zdrav razum. Na nivou korisnika postoji niz osnovne smjernice za digitalnu higijenu što drastično smanjuje šanse za zarazu virusima poput FvncBot-a, SeedSnatcher-a, ClayRat-a ili sličnim virusima.
Zlatno pravilo je jasno: Instalirajte aplikacije samo sa Google Play-a ili zvaničnih web stranica dobavljača.Preuzimanje APK-ova s linkova primljenih putem SMS-a, e-pošte, društvenih mreža, Telegram kanala ili "čudotvornih" stranica za preuzimanje danas je jedna od glavnih ulaznih tačaka za mobilni zlonamjerni softver.
Također je ključno odvojiti nekoliko sekundi da Pregledajte dozvole koje zahtijeva svaka aplikacija prije nego što ih prihvatite.Ako aplikacija koja navodno omogućava gledanje videa, slušanje muzike ili provjeru vremenske prognoze zahtijeva puni pristup SMS porukama, uslugama pristupačnosti, kontaktima ili administraciji uređaja, budite sumnjičavi. Mnogi napadi se oslanjaju na korisnike koji kliknu na "Prihvati" bez da išta pročitaju.
Drugi fundamentalni sloj je održavanje Android, aplikacije i sigurnosna rješenja uvijek ažuriraniProizvođači i Google često objavljuju zakrpe kako bi uklonili ranjivosti koje ovi trojanci pokušavaju iskoristiti. Omogućavanje automatskih ažuriranja i njihova periodična provjera zahtijeva minimalno vrijeme, a istovremeno se ulaže u sigurnost na ogromni način.
Što se tiče računa i vjerodajnica, preporučljivo je koristiti jake i različite lozinke za svaku usluguPohranite ove ključeve u pouzdanom upravitelju lozinki i omogućite dvofaktorsku autentifikaciju kad god je to moguće. Međutim, poželjnije je koristiti 2FA metode zasnovane na aplikacijama za autentifikaciju ili fizičkim ključevima umjesto SMS-a, upravo zato što se mnogi zlonamjerni programi za mobilne uređaje specijaliziraju za presretanje poruka.
Za one koji upravljaju značajnim količinama kriptovaluta, razumno je da... Srednje fraze i privatni ključevi se ne generiraju niti pohranjuju na Android uređaju opće namjene.Korištenje hardverskih novčanika ili namjenskih uređaja minimizira utjecaj kradljivca informacija poput SeedSnatchera na glavni mobilni uređaj.
U korporativnom okruženju, organizacije bi se trebale oslanjati na rješenja za upravljanje mobilnim uređajima (MDM) Da biste kontrolisali koje se aplikacije mogu instalirati, sprovodite politike šifriranja, odvojite poslovne i lične profile i pratite indikatore kompromitovanja. Kontinuirana obuka zaposlenih o mobilnom phishingu, sumnjivim linkovima i anomalnim ekranima za dozvole je jednako važna kao i bilo koje tehničko rješenje.
Uspon FvncBota, SeedSnatchera i novog ClayRata to dokazuje Glavni fokus sajber kriminala značajno se pomjerio prema mobilnim uređajima.Razumijevanje kako funkcionišu, koje dozvole zloupotrebljavaju i zašto su njihove kampanje toliko uvjerljive pomaže u podizanju svijesti o tome da pametni telefon više nije relativno sigurna "igračka", već najvrjednija karika u našem digitalnom životu.
Usvajanje jednostavnih navika – korištenje samo aplikacija iz pouzdanih izvora, oprez s linkovima i dozvolama, ažuriranje sistema i korištenje aktivne mobilne sigurnosti – čini razliku između toga da li ćete nastaviti koristiti svoj mobilni telefon bezbrižno ili da on postane alat u službi napadača. Podijelite ove informacije kako bi više ljudi moglo saznati o različitim vrstama zlonamjernog softvera za Android koji postoji.