Телефоните с Android са се превърнали в център на нашия дигитален живот: банкиране, криптовалути, работа, социални медии… и, за съжаление, също... любима цел на киберпрестъпницитеВъпреки че много потребители все още смятат, че с инсталирайте „антивирусна програма“ Всичко това вече е свършено, реалността е, че зловредният софтуер за Android е направил огромен скок в усъвършенстването си и сега се конкурира директно с традиционните компютърни заплахи.
През последните месеци няколко лаборатории по сигурност се фокусираха върху три много специфични семейства: FvncBot, SeedSnatcher и подобрената версия на ClayRatТова не са прости троянски коне, които показват само досадни реклами: говорим за зловреден софтуер, способен дистанционно да контролира мобилния ви телефон, да краде банкови данни, да изпразва портфейли с криптовалута, да записва натискания на клавиши или дори да отключва устройството автоматично, всичко това чрез злоупотреба с услуги за достъпност и екранни наслагвания, които са много трудни за откриване с просто око.
Експертите по киберсигурност наблюдават от известно време ускорена еволюция на зловредния софтуер за Androidс кампании, които не само целят да заразят домашните потребители, но и служителите на компании и профили с достъп до чувствителна информация или съответните икономически средства.
Зад тези заплахи откриваме и двете групи с чисто финансова мотивация като напреднали участници (APT) с възможни връзки с държавата, особено в случая на шпионски софтуер като ClayRat, насочен към шпионаж на далечни разстояния, кражба на данни и проследяване на конкретни жертви.
Методите за компрометиране на Android устройства до голяма степен се основават на социално инженерство и разпространение на злонамерени приложения извън Google PlayВъпреки това, магазини на трети страни, фишинг домейни, имитиращи популярни услуги, и канали за съобщения като Telegram, където се споделят връзки към манипулирани APK файлове, също се експлоатират.
Тези нови троянски коне се възползват от легитимните системни функционалности, особено от услуги за достъпност, наслагвания на екрана и API на MediaProjection (използвани за запис или споделяне на екрана), превръщайки ги в инструменти за шпионаж и финансова измама изключително ефективен.
В този контекст, три имена се очертават силно, като вече често се споменават в технически доклади: FvncBot, SeedSnatcher и ClayRatВсеки от тях действа със собствена тактика, но всички споделят една и съща цел: да откраднат колкото е възможно повече информация и да запазят контрол над устройството, без да предизвикат подозрение.
Все по-агресивен пейзаж от мобилни заплахи
Експертите по киберсигурност наблюдават от известно време ускорена еволюция на зловредния софтуер за Androidс кампании, които не само целят да заразят домашните потребители, но и служителите на компании и профили с достъп до чувствителна информация или съответните икономически средства.
Зад тези заплахи откриваме и двете групи с чисто финансова мотивация като напреднали участници (APT) с възможни връзки с държавата, особено в случая на шпионски софтуер като ClayRat, насочен към шпионаж на далечни разстояния, кражба на данни и проследяване на конкретни жертви.
Методите за компрометиране на Android устройства до голяма степен се основават на социално инженерство и разпространение на злонамерени приложения Извън Google Play, се експлоатират и магазини на трети страни, фишинг домейни, имитиращи популярни услуги, и канали за съобщения като Telegram, където се споделят връзки към манипулирани APK файлове.
Тези нови троянски коне се възползват от легитимните системни функционалности, особено от услуги за достъпност, наслагвания на екрана и API на MediaProjection (използвани за запис или споделяне на екрана), превръщайки ги в изключително ефективни инструменти за шпионаж и финансови измами.
В този контекст, три имена се очертават силно, като вече често се споменават в технически доклади: FvncBot, SeedSnatcher и ClayRatВсеки от тях действа със собствена тактика, но всички споделят една и съща цел: да откраднат колкото е възможно повече информация и да запазят контрол над устройството, без да предизвикат подозрение.
FvncBot: банков троянец с дистанционно управление тип VNC
Основният им трик е да се преструват на приложение за сигурност, свързано с mBankИзвестна полска финансова институция. Потребителят вярва, че инсталира легитимно приложение, което подобрява сигурността на мобилното му банкиране, когато в действителност внедрява троянски кон, способен да записва всичко, което правят, и дистанционно да поеме контрола над мобилното му устройство.
Процесът на заразяване започва чрез приложение „dropper“, което действа като зареждащо устройство. Това приложение е защитено от услуга за обфускация и криптиране, известна като apk0day, предлаган от Golden CryptТова затруднява анализа на кода и идентифицирането му с помощта на решения за сигурност. При отваряне приложението показва съобщение, което подканва потребителя да инсталира предполагаем „компонент на Google Play“, за да подобри стабилността или защитата на системата.
В действителност, този компонент е самият той зловреден полезен товар от FvncBotТози зловреден софтуер се възползва от сесиен подход, за да заобиколи ограниченията за достъпност, въведени с Android 13. По този начин, дори в по-новите версии на операционната система, зловредният софтуер успява да активира разрешенията, необходими му, за да вижда и контролира почти всичко на устройството.
След като се стартира, FvncBot подканва потребителя да предостави разрешения за услуги за достъпностАко жертвата се съгласи, троянският кон получава един вид „суперсили“ в системата: може да чете какво се показва на екрана, да открива кои приложения са отворени, да симулира натискания на клавиши, да показва прозорци върху други приложения или да записва натисканията на клавиши в чувствителна форма, като например вход в банката.
По време на своята активност, зловредният софтуер изпраща събития и регистрационни файлове до отдалечен сървър, свързан с домейна naleymilva.it.comТова е било използвано от операторите за наблюдение на състоянието на всяко заразено устройство. Анализираните проби показват идентификатор на компилация „call_pl“, който изрично сочи Полша като целевата държава, и версия с етикет „1.0-P“, което предполага, че FvncBot все още е в ранен етап на разработка и може да продължи да се развива.
След регистрация на устройството, FvncBot комуникира със своята инфраструктура за командване и контрол, използвайки HTTP и Firebase Cloud Messaging (FCM)Чрез тези канали, то получава инструкции в реално време и може да променя поведението си според заповедите на нападателите, активирайки или деактивирайки специфични модули в зависимост от вида на жертвата или текущата кампания.
Сред документираните в този троянски кон функции, няколко се открояват като особено важни, като например способността да Стартиране или спиране на WebSocket връзки които позволяват дистанционно управление на устройството: нападателите могат да плъзгат, докосват, превъртат, отварят приложения или въвеждат данни почти сякаш държат телефона в ръка.
Освен това FvncBot ексфилтрира събития за достъпност, списъци с инсталирани приложения и информация за устройството (модел, версия, конфигурация и др.), така че операторите да имат пълен списък с цели, да знаят кои банкови или криптовалутни приложения са налични и да могат да внедряват злонамерени наслагвания само върху приложенията, които наистина ги интересуват.
Троянският кон е готов да се покаже фалшиви екрани на цял екранЧрез имитиране на банкови интерфейси или други услуги, той улавя идентификационни данни, данни за карти или еднократни кодове. Може също така да скрие тези наслагвания, когато вече не са необходими, така че жертвата едва забелязва необичайно поведение, освен евентуално трептене на екрана, което обикновено се приписва на обикновен визуален бъг.
Друг поразителен аспект на FvncBot е използването на MediaProjection API за стрийминг на екрана в реално времеТова, комбинирано с дистанционно управление чрез HVNC (Скрити виртуални мрежови изчисления), позволява на нападателите да видят точно това, което вижда жертвата, и да управляват приложението на банката с пълна свобода, дори в приложения, които се опитват да блокират екранни снимки, използвайки флага FLAG_SECURE.
За да преодолее това ограничение, FvncBot включва „текстов режим“, който анализира съдържание на интерфейса, дори когато не могат да се правят традиционни заснеманияПо този начин, дори ако банково или платежно приложение предотвратява снимки на екрана от съображения за сигурност, троянският кон успява да прочете елементите на екрана благодарение на услугите за достъпност.
Към момента няма публично потвърждение за това. главен вектор на разпределениеВъпреки това, въз основа на модела на други подобни банкови троянци, е много вероятно той да прибегне до smishing кампании (фишинг SMS), връзки, изпращани чрез съобщения, и магазини за приложения на трети страни, където се качват фалшиви версии на добре познати приложения или предполагаеми инструменти за сигурност.
Въпреки че настоящите извадки се фокусират върху полски потребители и конкретна организация, анализаторите смятат, че Само въпрос на време е FvncBot да се адаптира към други страни и банки.Промяната на езика, логата и шаблоните за наслагване е сравнително лесна.
SeedSnatcher: ловец на семенни фрази и 2FA код
Ако основната цел на FvncBot са традиционните банкови сметки, SeedSnatcher е изцяло насочен към крипто екосистематаТова семейство зловреден софтуер за Android е специално проектирано да краде пароли за портфейли, частни ключове и като цяло всякаква информация, която му позволява да поеме контрол над портфейли с криптовалута.
SeedSnatcher се разпространява предимно чрез Telegram и други социални каналиизползвайки името „Coin“, за да се прикрият като инвестиционно приложение, инструмент за управление на криптовалута или ексклузивна промоция. Нападателите често разпространяват връзки към предполагаемо легитимни APK файлове, използвайки публични или частни групи, свързани с търговия, NFT или новини за блокчейн.
След като бъде инсталирано, злонамереното приложение не показва никакво забележимо поведение в началото. Всъщност една от ключовите му характеристики е, че Изисква малко разрешителни за влизане., обикновено достъп до SMS или основни функции, за да не се предизвика подозрение или да се задействат предупреждения в решения за сигурност, които се фокусират върху прекомерни заявки за разрешения.
Въпреки това, на заден план, SeedSnatcher започва да разгръща арсенала си. Възползвайки се от напреднали техники, като например динамично зареждане на класове и скрито инжектиране на съдържание в WebViewПриложението може да актуализира функционалности от сървъра за командване и контрол, да бъде модифицирано в движение или да активира модули само когато жертвата отвори определени приложения, свързани с криптовалута.
Една от най-опасните функции е способността да се показва много убедителни фишинг наслагвания Тези измами имитират външния вид на добре познати приложения за портфейли, борси или екрани за възстановяване на акаунт. Потребителят вярва, че въвежда своята seed фраза, за да възстанови портфейла или да потвърди самоличността си, но в действителност предава контрола над всичките си средства на нападателя.
В допълнение към seed фразите, SeedSnatcher прихваща входящи SMS съобщения за заснемане на кодове за двуетапно удостоверяване (2FA)Това отваря вратата за отвличане на акаунти в борсови услуги или търговски платформи, които разчитат на SMS като втори фактор.
Зловредният софтуер не се ограничава само до крипто света: той е подготвен и за... извличане на данни от устройствотовключително контакти, дневници на обажданията, файлове, съхранени на мобилния телефон, и друга информация, потенциално полезна за бъдещи измами или за продажба на черни пазари.
Разследвания, приписвани на CYFIRMA, показват, че операторите на SeedSnatcher може да са групи, базирани в Китай или говорещи китайски, въз основа на инструкции на този език, намиращи се в контролните панели и каналите за разпространение, свързани със зловредния софтуер.
Процесът на ескалация на привилегиите на SeedSnatcher следва много калкулиран модел: започва с минимални разрешения и по-късно изисква още. достъп до файлов мениджър, наслагвания, контакти, дневници на обажданията и други ресурсиТова поетапно поведение му помага да заобиколи евристично базирани решения за сигурност, които се активират от масивни заявки за разрешения още от първото зареждане.
Комбинацията от визуална измама, кражба на SMS, наблюдение на клипборда и тихо извличане на данни прави SeedSnatcher... Това е критична заплаха за всеки потребител, който борави с криптовалути от мобилното си устройство.особено ако използвате портфейли без попечителство, базирани на seed фрази.
ClayRat: модулен шпионски софтуер с почти пълен контрол върху устройството
Най-скорошната открита итерация се откроява с по-нататъшното злоупотребяване с услуги за достъпност и стандартни разрешения за SMSБлагодарение на това, ClayRat може да записва натискания на клавиши, да чете известия, получени на устройството, да наблюдава чувствителни приложения и да записва както екрана, така и звука, превръщайки мобилния телефон в истински инструмент за наблюдение.
Този зловреден софтуер е предназначен да показва наслагвания, които симулират системни актуализации, черни екрани или прозорци за поддръжкаТе се използват за прикриване на злонамерени действия, докато нападателите манипулират устройството във фонов режим. Когато потребителите видят екран за „актуализация на системата“ или подобен, те са склонни да чакат, без да докосват нищо, което дава на киберпрестъпниците цялото време на света за работа.
Друга особено тревожна характеристика е способността на ClayRat да автоматично отключване на устройствотоНезависимо дали използвате ПИН код, парола или шаблон, това, в комбинация със запис на екрана и регистриране на натисканията на клавиши, осигурява пълен контрол над мобилното устройство, без потребителят да се налага да въвежда отново своите идентификационни данни.
В последните кампании ClayRat се е разпространил в поне 25 Фишинг домейни, които имитират легитимни услуги като YouTubeрекламирайки предполагаема „Pro“ версия с възпроизвеждане във фонов режим и поддръжка на 4K HDR. Потребителите изтеглят приложението, вярвайки, че е премиум версия, и несъзнателно инсталират шпионския софтуер.
Също така са намерени Приложения за пускане на приложения, които се представят за приложения за таксита и паркиране в региони като Русия. Тези фалшиви приложения действат като инсталационни средства за ClayRat, подобно на модела, използван от FvncBot, където привидно безобидно приложение изтегля или активира действителния зловреден компонент.
Зловредният софтуер може да генерира фалшиви и интерактивни известия които изглеждат сякаш идват от системата или легитимни приложения, с цел събиране на отговори от потребителя (например кодове, потвърждения на операции или допълнителни разрешения), без потребителят да е наясно, че взаимодейства с интерфейс, контролиран от нападателя.
В сравнение с предишните версии, новият вариант на ClayRat е много по-труден за премахване: неговите механизми за персистентност и неговите възможност за камуфлиране на вашата активност чрез наслагвания и заключване на екрана Те правят така, че потребителят да има по-малко възможности да деинсталира приложението или да изключи устройството навреме.
Тези характеристики, съчетани с подозрението, че може да е свързано с APT групи с евентуално държавно спонсорствоТова прави ClayRat един от най-опасните инструменти за мобилен шпионски софтуер днес, особено в корпоративни среди с политики BYOD (Bring Your Own Device - Донеси си собствено устройство), където служителите използват личните си мобилни телефони за достъп до вътрешни системи.
Често срещани техники: достъпност, наслагвания и усъвършенствано избягване
Въпреки че FvncBot, SeedSnatcher и ClayRat имат различни цели (традиционно банкиране, криптовалути или напреднал шпионаж), те споделят набор от... ключови тактики и техники което обяснява защо постигат толкова голям успех в реални кампании.
En грунд Лугар, ел злоупотреба с услуги за достъпност на Android Той се превърна в крайъгълен камък на съвременния зловреден софтуер. Тази функционалност, първоначално проектирана да помага на хора с увреждания да взаимодействат с устройството, позволява четене на съдържанието на интерфейса, откриване на промени на екрана и автоматизиране на действия, което е изключително полезно... както за използваемостта, така и за киберпрестъпността.
Друг общ елемент е интензивното използване на наслагвания, които се представят за легитимни приложенияЧрез поставяне на фалшив екран върху истинско приложение – независимо дали е банка, крипто портфейл или популярна услуга – нападателите могат да заснемат идентификационни данни, лични данни и всякаква информация, въведена от потребителя, без да е необходимо директно да компрометират целевото приложение.
Освен това, тези троянски коне интегрират усъвършенствани техники за избягване да усложнят анализа и откриването му; да се научат да сканиране за злонамерен софтуер с Google Play ProtectОбфускация на код, външни услуги за криптиране като apk0day, динамично зареждане на класове, които се изтеглят от сървъра за командни и контролни операции само когато е необходимо, и дори командни инструкции, базирани на цели числа, за да се направи трафикът по-малко очевиден.
Комуникацията със сървърите на нападателите също стана по-сложна. Използването на Firebase Cloud Messaging за получаване на поръчкиУстановяването на WebSocket връзки за контрол в реално време и дискретното извличане на данни чрез HTTP или HTTPS водят до смесване на злонамерен трафик с легитимен трафик, което затруднява идентифицирането му в корпоративни или домашни мрежи.
Всичко това е съчетано с много изпипана работа по социалното инженерствоТези приложения се маскират като компоненти на Google Play, приложения за сигурност, официални банкови инструменти, „Pro“ версии на популярни платформи като YouTube или търсени услуги като таксита и паркинги. Целта е да се намали бдителността на потребителя и да се убеди да предостави важни разрешения, без да се замисля.
Как да защитите вашето Android устройство от FvncBot, SeedSnatcher и ClayRat
Няма мярка, която да е безпогрешна, но прилагането на основни добри практики драстично намалява вероятността да се попаднете в кампании като тези на FvncBot, SeedSnatcher или ClayRatМного атаки разчитат на небрежност от страна на потребителя и лошо конфигурирани устройства.
Първото правило е очевидно, но остава най-ефективното: Инсталирайте приложения само от надеждни източници, като например Google Play или официалните уебсайтове на доставчиците, и преглед на списъци с опасни приложенияИзтеглянето на APK файлове от връзки във форуми, Telegram канали или страници, които обещават безплатни версии на платени приложения, е в днешно време една от основните входни точки за мобилен зловреден софтуер.
Също така е от съществено значение Поддържайте операционната си система и приложенията винаги актуалниGoogle и производителите често пускат корекции, които отстраняват уязвимости в сигурността, а много троянски коне разчитат на известни недостатъци, които могат да бъдат избегнати просто чрез инсталиране на най-новите налични версии.
Управлението на паролите и удостоверяването е друг критичен момент. Използвайте силни ключове, уникални за всяка услуга, и позволяващи двуетапно удостоверяване (2FA) В банкирането, имейла, социалните мрежи и крипто платформите това добавя допълнителен слой защита, въпреки че, както видяхме, някои злонамерени програми се опитват да откраднат и 2FA кодове чрез SMS.
Винаги, когато е възможно, е препоръчително да се избере По-надеждни методи за 2FA, като например приложения за удостоверяване или физически ключове за сигурност, вместо традиционни SMS, които са по-лесни за прихващане от зловреден софтуер като SeedSnatcher.
Друг ключов съвет е спокойно да прегледате разрешения, изисквани от приложениятаАко приложение, което уж ви позволява да гледате видеоклипове, да проверявате времето или да управлявате паркирането, поиска пълен достъп до SMS съобщения, услуги за достъпност, контакти или администриране на устройства, бъдете подозрителни. Много атаки разчитат на потребителите да натиснат „Приемам“, без да прочетат условията.
В корпоративната среда организациите трябва да внедрят политики за управление на мобилни устройства (MDM)Ограничете инсталирането на неоторизирани приложения и провеждайте редовни проверки за откриване на подозрително поведение. Освен това е важно служителите да бъдат обучени да разпознават опити за фишинг, независимо дали чрез SMS, имейл или незабавни съобщения.
За напредналите потребители може да е полезно да комбинират горните мерки с специфични решения за мобилна сигурност които анализират поведението на приложенията, откриват злоупотреби с достъпността и непрекъснато проверяват целостта на устройството. Никой технически инструмент обаче не може да замести здравия разум при инсталиране и използване на приложения.
На лично ниво е препоръчително да се възприемат определени навици: Внимавайте с неочаквани връзки и проверявайте URL адресите на уебсайтове, които изискват идентификационни данни.Избягвайте въвеждането на ключови фрази или банкови данни на екрани, които се появяват след инсталиране на непознати приложения, и ако имате съмнения, свържете се директно с организацията или услугата чрез официални канали.
Появата на FvncBot, SeedSnatcher и обновения ClayRat демонстрира това Бойният фронт се премести на мобилни устройства. със същата или дори по-голяма интензивност, както на настолен компютър. Комбинацията от злоупотреба с достъпността, сложни наслагвания, дистанционно управление тип VNC и усъвършенствано избягване означава, че всеки пропуск може да доведе до кражба на пари, изпразване на портфейла или пълно разкриване на нечий дигитален живот. Осъзнаването, че телефонът е приоритетна цел и съответното действие – внимавайте какво инсталираме, какви разрешения предоставяме и как управляваме акаунтите си – се е превърнало в ключов елемент от ежедневната сигурност.
