Тези приложения за Android ви шпионират и крадат парите ви
Как троянски коне получават надзор над смарт телефон посредством диалогов прозорец...
Емил Василев преди 17 секунди 0 СподелиНай-четени
IT НовиниЕмил Василев - 18:28 | 25.07.2025Изминаха 50 години от сключването на договорката, която сложи началото на Microsoft
IT НовиниЕмил Василев - 13:00 | 25.07.2025ГДБОП смъкна два уеб страницата за пиратски филми и сериали
IT НовиниДаниел Десподов - 10:44 | 25.07.2025Внимание. Новият Windows безшумно прави фотография на екрана ви всяка секунда. Но не и в Европа
Емил Василевhttps://www.kaldata.com/Изследователи от CYFIRMA предизвестиха за нова вълна от офанзиви, употребяващи злонамерени приложения за Android, които се маскират като публични банкови приложения, с цел да крадат потребителски данни, да прихващат известия и да правят неоторизирани финансови транзакции. Според анализаторите тези приложения са изключително дейни в насочването си към индийските клиенти и употребяват усъвършенствани техники за прикриване и заобикаляне на сигурността.
Основният злотворен програмен продукт се популяризира посредством подправени уеб страници, месинджъри, фишинг известия и даже подправени систематични актуализации.
След като бъде конфигурирано, приложението желае сериозни позволения и неусетно от потребителя започва скрита активност. Зловредният програмен продукт може да чете и изпраща SMS-и, да прихваща еднократни кодове и вести, да наблюдава телефонни позвънявания и да събира данни за SIM картите. Той употребява Firebase като канал за надзор и запазване на открадната информация и употребява способи за автоматизирано пускане при рестартиране на устройството, с цел да поддържа наличието си.
Една от характерностите на офанзивата е нейната модулна архитектура. Злонамереният програмен продукт се състои от две елементи: дропър и главен потребен съставен елемент.
Първо се изтегля APK файл, който употребява прикрит механизъм за инсталиране и имитира дейностите на нормално приложение. След това благодарение на особено персонализиран интерфейс потребителят се подлъгва да конфигурира втори APK файл, който съдържа функционалности за кражба на данни. Основният съставен елемент е прикрит от листата с приложения, не демонстрира икона и работи напълно във фонов режим.
Механизмите за обществено инженерство играят основна роля. На потребителя се демонстрират подправени формуляри за въвеждане, които изцяло имитират интерфейса на същинско банково приложение. Проверява се даже дължината на телефонния номер и ПИН кода, което ускорява чувството за достоверност. Събраните данни, в това число CVV, номера на карти, MPIN и еднократни кодове се изпращат до Firebase – основана в облака база данни. Оттам нападателите получават достъп до сензитивна информация и могат да управляват инфектираните устройства.
Анализът сподели също, че зловредният програмен продукт може да извършва отдалечени команди посредством push вести, автоматизирано да задейства пренасочване на повиквания, да извършва USSD поръчки и да употребява систематични позволения за събиране на метаданни. Използването на Firebase прави инфраструктурата за командване и надзор невидима, защото услугата е безвъзмездна и не изисква засвидетелствуване по дифолт.
Разпространението на такива приложения се прави посредством разнообразни канали. Те включват подправени банкови уеб страници, SEO операции, инфектирани магазини за приложения на трети страни, злонамерени QR кодове и NFC етикети.
Понякога тези приложения се маскират като систематични помощни стратегии, да вземем за пример актуализации на Play Protect или мениджъри на батерията. В някои случаи зловредният програмен продукт може да е авансово конфигуриран на евтини устройства или да се популяризира посредством USB при физически достъп до телефона.
Експертите на CYFIRMA приканват потребителите да деактивират опцията за инсталиране на приложения от непознати източници и да не кликат върху подозрителни връзки в SMS и месинджъри. Те също по този начин предлагат да се употребяват решения от клас EDR за мобилни устройства, които могат да следят държанието на приложенията в действително време. За банките и телекомуникационните компании те оферират интеграция със системи за пречистване на трафика, насочени към закани, и интензивно наблюдаване на облачните платформи, в които се правят злоупотреби.
Според специалистите тази акция показва високото равнище на подготовка на атакуващите и уязвимостта на екосистемата на Android при неналичието на централизиран надзор. Най-малката немарливост от страна на потребителя може да докара до цялостно компрометиране на финансовите му данни.
