Шесть семейств Android-вредоносов нацелены на банковские приложения и криптокошельки
Эксперты обнаружили Android-троян PixRevolution и еще несколько вредоносов, атакующих банковские приложения, криптокошельки и платежные сервисы, включая российские.
Специалисты по кибербезопасности обнаружили новую волну Android-вредоносов, нацеленных на банковские приложения, криптовалютные кошельки и финансовые операции пользователей. В числе выявленных семейств — PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT и SURXRAT, способные похищать данные устройств, перехватывать транзакции и получать удаленный контроль над смартфонами.
О распространении утекшего исходного кода Android-RAT BTMOB на даркнет-форумах сообщает The Hacker News, ссылаясь на специалиста российской компании «Лаборатория Касперского». По его словам, злоумышленники, стоящие за вредоносом BeatBanker, могли использовать этот код и устанавливать троян BTMOB на устройства жертв на последнем этапе атаки.
Наиболее опасной из обнаруженных угроз специалисты считают PixRevolution — банковский троян, созданный для атак на бразильскую систему мгновенных платежей Pix. Платформа, запущенная Центральным банком Бразилии в 2020 году, используется десятками миллионов пользователей и обрабатывает миллиарды транзакций ежемесячно.
Главная особенность PixRevolution — модель атак, в которой злоумышленник наблюдает за действиями пользователя на зараженном устройстве в реальном времени. Когда владелец смартфона инициирует перевод через Pix, оператор может вмешаться непосредственно перед подтверждением платежа и изменить реквизиты получателя.
Сценарий атаки начинается с заражения устройства. Вредоносное ПО распространяется через фальшивые страницы приложений, имитирующие Google Play. Пользователям предлагают установить якобы официальные версии популярных сервисов и организаций, после чего приложение просит включить сервис доступности Android, объясняя это необходимостью работы программы.
После получения разрешений троян получает практически полный контроль над интерфейсом устройства. Он отслеживает все происходящее на экране, анализирует текст интерфейсов приложений и фиксирует появление ключевых слов, связанных с платежами и переводами.
Когда пользователь вводит сумму и реквизиты получателя Pix-перевода, троян выводит на экран краткое сообщение о загрузке. В это время вредоносная программа подменяет ключ Pix получателя на адрес злоумышленника и автоматически подтверждает транзакцию. После завершения операции пользователь видит стандартное сообщение об успешном переводе и не подозревает о подмене.
Важным нюансом PixRevolution является передача изображения экрана на сервер управления. Используя API захвата экрана Android, вредоносная программа создает потоковое изображение интерфейса устройства, позволяя оператору наблюдать за действиями пользователя и отправлять команды для изменения данных транзакции.
Эксперты отмечают, что подобная модель атак отличается от традиционных банковских троянов. Вместо автоматических фишинговых форм или перехвата учетных данных злоумышленники используют живое наблюдение за экраном, что позволяет обходить изменения интерфейсов банковских приложений и вмешиваться в операции непосредственно в момент их выполнения.
Исследователи предупреждают, что подобные атаки могут распространяться и на другие системы мгновенных платежей по мере их распространения в разных странах. Использование легитимных функций Android — сервисов доступности и механизмов захвата экрана — усложняет обнаружение таких угроз и делает поведенческие методы защиты на мобильных устройствах особенно важными.
Читайте также
