Android-hakkerit ja haittaohjelmat
Android-hakkerit kohdistavat nyt yli 800 sovellusta pankki-, kryptovaluutta- ja sosiaalisen median aloilla. Kyberturvallisuusyritys Zimperium kertoo, että sen tutkijat ovat tunnistaneet neljä aktiivista haittaohjelmaperhettä, jotka hyödyntävät kehittynyttä komentaja-ohjaus-infrastruktuuria varastaakseen käyttäjätunnuksia, suorittaakseen valtuuttamattomia taloudellisia tapahtumia ja eksfiltraatakseen tietoja suuressa mittakaavassa.
”Yhteensä nämä kampanjat kohdistavat yli 800 sovellusta pankki-, kryptovaluutta- ja sosiaalisen median aloilla. Käyttämällä kehittyneitä analyysinvastaisia tekniikoita ja rakenteellista APK-manipulaatiota, nämä haittaohjelmaperheet ylläpitävät usein lähes nollan havaitsemisasteita perinteisiä allekirjoituksiin perustuvia turvallisuusmekanismeja vastaan.”
Haittaohjelmaperheet
Haittaohjelmaperheiden nimet ovat RecruitRat, SaferRat, Astrinox ja Massiv. Hyökkääjät luottavat yleisesti phishing-verkkosivustoihin, petollisiin työpaikkatarjouksiin, väärennettyihin ohjelmistopäivityksiin, tekstiviestihuijauksiin ja mainoslureihin saadakseen uhrit asentamaan haitallisia Android-sovelluksia.
Haittaohjelman toiminnot
Kun haittaohjelma on asennettu, se voi pyytää saavutettavuuslupia, piilottaa sovellusten kuvakkeita, estää poistoyrityksiä, varastaa PIN-koodeja ja salasanoja väärennettyjen lukitusnäyttöjen kautta, tallentaa kertakäyttöisiä salasanoja, suoratoistaa laitteiden näyttöjä ja peittää aitojen pankki- tai kryptosovellusten kirjautumissivut.
”Peittohyökkäykset ovat edelleen tunnusten keräämisen elinkaaren kulmakivi. Käyttämällä saavutettavuuspalveluja valvomaan etualaa, haittaohjelma havaitsee tarkan hetken, jolloin uhri avaa taloudellisen sovelluksen. Tämän jälkeen haittaohjelma noutaa haitallisen HTML-sisällön ja peittää sen aitojen sovellusten käyttöliittymään, luoden erittäin vakuuttavan ja harhaanjohtavan pinnan.”
Kampanjoiden tekniset yksityiskohdat
Yritys kertoi, että kampanjat käyttävät HTTPS- ja WebSocket-viestintää sekoittaakseen haitallista liikennettä normaaliin sovellustoimintaan, kun taas jotkut variantit lisäävät ylimääräisiä salauskerroksia havaitsemisen välttämiseksi.
