Android-telefonidest on saanud meie digitaalse elu keskpunkt: pangandus, krüptovaluutad, töö, sotsiaalmeedia… ja kahjuks ka küberkurjategijate lemmiksihtmärkKuigi paljud kasutajad arvavad endiselt, et koos installige "viirusetõrje" Nüüd on kõik läbi, aga tegelikkus on see, et Androidi pahavara on teinud tohutu hüppe keerukuses ja konkureerib nüüd otse vastu traditsioonilistele arvutiohtudele.
Viimastel kuudel on mitmed turvalaborid keskendunud kolmele väga spetsiifilisele perekonnale: FvncBot, SeedSnatcher ja ClayRati täiustatud versioonNeed ei ole lihtsad troojalased, kes kuvavad ainult tüütuid reklaame: me räägime pahavarast, mis on võimeline teie mobiiltelefoni kaugjuhtimise teel juhtima, pangaandmeid varastama, krüptovaluuta rahakotte tühjendama, klahvivajutusi salvestama või isegi seadet automaatselt avama, kuritarvitades ligipääsetavuse teenuseid ja ekraanikihte, mida on palja silmaga väga raske tuvastada.
Küberjulgeoleku eksperdid on juba mõnda aega täheldanud, et Androidi pahavara kiirenenud evolutsioonkampaaniatega, mille eesmärk pole nakatada mitte ainult kodukasutajaid, vaid ka ettevõtete töötajaid ja profiile, kellel on juurdepääs tundlikule teabele või asjakohastele majandusfondidele.
Nende ähvarduste taga leiame mõlemad rühmitused, kellel on puhtalt rahaline motivatsioon edasijõudnud osalejatena (APT-dena), kellel võivad olla seosed riikidega, eriti nuhkvara nagu ClayRat puhul, mis on suunatud pikamaa spionaažile, andmete vargusele ja konkreetsete ohvrite jälgimisele.
Android-seadmete ohtu seadmise meetodid põhinevad suuresti järgmisel: sotsiaalne manipuleerimine ja pahatahtlike rakenduste levitamine väljaspool Google PlaydSiiski kasutatakse ära ka kolmandate osapoolte poode, populaarseid teenuseid matkivaid andmepüügidomeene ja sõnumsidekanaleid nagu Telegram, kus jagatakse linke manipuleeritud APK-dele.
Need uued troojalased kasutavad ära seaduslikke süsteemifunktsioone, eriti ligipääsetavuse teenused, ekraanikihid ja MediaProjection API (kasutatakse ekraani salvestamiseks või jagamiseks), muutes need spionaažitööriistadeks ja finantspettus äärmiselt efektiivne.
Selles kontekstis kerkivad jõuliselt esile kolm nime, mida tehnilistes aruannetes juba sageli mainitakse: FvncBot, SeedSnatcher ja ClayRatIgaüks neist tegutseb oma taktikaga, kuid neil kõigil on sama eesmärk: varastada võimalikult palju teavet ja säilitada seadme üle kontroll ilma kahtlust tekitamata.
Üha agressiivsem mobiilsete ohtude maastik
Küberjulgeoleku eksperdid on juba mõnda aega täheldanud, et Androidi pahavara kiirenenud evolutsioonkampaaniatega, mille eesmärk pole nakatada mitte ainult kodukasutajaid, vaid ka ettevõtete töötajaid ja profiile, kellel on juurdepääs tundlikule teabele või asjakohastele majandusfondidele.
Nende ähvarduste taga leiame mõlemad rühmitused, kellel on puhtalt rahaline motivatsioon edasijõudnud osalejatena (APT-dena), kellel võivad olla seosed riikidega, eriti nuhkvara nagu ClayRat puhul, mis on suunatud pikamaa spionaažile, andmete vargusele ja konkreetsete ohvrite jälgimisele.
Android-seadmete ohtu seadmise meetodid põhinevad suuresti järgmisel: sotsiaalne manipuleerimine ja pahatahtlike rakenduste levitamine Lisaks Google Playle kasutatakse ära ka kolmandate osapoolte poode, populaarseid teenuseid matkivaid andmepüügidomeene ja sõnumsidekanaleid nagu Telegram, kus jagatakse linke manipuleeritud APK-dele.
Need uued troojalased kasutavad ära seaduslikke süsteemifunktsioone, eriti ligipääsetavuse teenused, ekraanikihid ja MediaProjection API (kasutatakse ekraani salvestamiseks või jagamiseks), muutes need äärmiselt tõhusateks vahenditeks spionaažiks ja finantspettusteks.
Selles kontekstis kerkivad jõuliselt esile kolm nime, mida tehnilistes aruannetes juba sageli mainitakse: FvncBot, SeedSnatcher ja ClayRatIgaüks neist tegutseb oma taktikaga, kuid neil kõigil on sama eesmärk: varastada võimalikult palju teavet ja säilitada seadme üle kontroll ilma kahtlust tekitamata.
FvncBot: pangandustroojan VNC-tüüpi puldiga
Nende peamine trikk on teeselda, et nad on mBankiga seotud turvarakendusTuntud Poola finantsasutus. Kasutaja usub, et installib legitiimse rakenduse, mis parandab tema mobiilipanga turvalisust, kuid tegelikkuses installib ta trooja, mis suudab salvestada kõike tema tegevust ja võtta kaugjuhtimise teel kontrolli tema mobiilseadme üle.
Nakatumisprotsess algab laadurina toimiva tilgutirakenduse kaudu. Seda rakendust kaitseb hägustamis- ja krüpteerimisteenus, mida tuntakse nime all apk0day, pakub Golden CryptSee raskendab koodi analüüsimist ja turvalahenduste abil tuvastamist. Rakenduse avamisel kuvatakse teade, mis palub kasutajal installida väidetava „Google Play komponendi”, et parandada süsteemi stabiilsust või kaitset.
Tegelikkuses on see komponent ise Pahatahtlik koormus FvncBotiltSee pahavara kasutab ära seansipõhist lähenemist, et mööda hiilida Android 13-ga kasutusele võetud ligipääsetavuse piirangutest. Seega suudab pahavara isegi operatsioonisüsteemi uuemates versioonides aktiveerida õigused, mida ta vajab seadmes praktiliselt kõige nägemiseks ja juhtimiseks.
Pärast käivitamist palub FvncBot kasutajal luba anda ligipääsetavuse teenuste loadKui ohver nõustub, omandab troojalane süsteemis omamoodi "supervõimed": see suudab lugeda ekraanil kuvatavat, tuvastada avatud rakendused, simuleerida klahvivajutusi, kuvada aknaid teiste rakenduste peal või salvestada klahvivajutusi tundlikel viisidel, näiteks pangakonto sisselogimisel.
Oma tegevuse ajal saadab pahavara sündmusi ja logisid domeeniga naleymilva.it.com seotud kaugserverOperaatorid kasutasid seda iga nakatunud seadme oleku jälgimiseks. Analüüsitud näidised näitasid ehituse identifikaatorit „call_pl“, mis osutab sihtriigina otseselt Poolale, ja versiooni märgistusega „1.0-P“, mis viitab sellele, et FvncBot on alles arendusjärgus ja võib edasi areneda.
Pärast seadme registreerimist suhtleb FvncBot oma juhtimis- ja juhtimisinfrastruktuuriga, kasutades järgmist HTTP ja Firebase'i pilvesõnumid (FCM)Nende kanalite kaudu saab see reaalajas juhiseid ja saab oma käitumist vastavalt ründajate käskudele muuta, aktiveerides või deaktiveerides konkreetseid mooduleid olenevalt ohvri tüübist või käimasolevast kampaaniast.
Selles troojalases dokumenteeritud funktsioonide hulgast paistavad mitmed eriti kriitilise tähtsusega olevat, näiteks võime WebSocket-ühenduste käivitamine või peatamine mis võimaldavad seadme kaugjuhtimist: ründajad saavad libistada, puudutada, kerida, rakendusi avada või andmeid sisestada peaaegu nii, nagu oleks neil telefon käes.
Lisaks eksfiltreerub FvncBot ligipääsetavuse sündmused, installitud rakenduste loendid ja seadme teave (mudel, versioon, konfiguratsioon jne), et operaatoritel oleks täielik sihtmärkide nimekiri, nad teaksid, millised pangandus- või krüptovaluutarakendused on olemas ja saaksid pahatahtlikke katteid paigutada ainult nendele rakendustele, mis neid tõeliselt huvitavad.
Troojalane on valmis ilmuma täisekraani võltsekraanidPangaliideste või muude teenuste jäljendamise abil jäädvustab see volitusi, kaardiandmeid või ühekordseid koode. Samuti saab see need katted peita, kui neid enam vaja pole, nii et ohver vaevu märkab ebatavalist käitumist peale võimaliku ekraani virvenduse, mida ta tavaliselt omistab lihtsale visuaalsele veale.
FvncBoti teine silmatorkav aspekt on selle kasutamine MediaProjection API reaalajas ekraani voogesituseksSee koos HVNC (Hidden Virtual Network Computing) kaudu toimuva kaugjuhtimisega võimaldab ründajatel näha täpselt seda, mida näeb ohver, ja panga rakendust täieliku vabadusega kasutada, isegi rakendustes, mis üritavad ekraanipilte FLAG_SECURE lipu abil blokeerida.
Selle piirangu ületamiseks sisaldab FvncBot "tekstirežiimi", mis analüüsib liidese sisu isegi siis, kui traditsioonilisi jäädvustusi ei saa tehaSeega, isegi kui pangandus- või makserakendus takistab turvakaalutlustel ekraanipiltide tegemist, suudab troojalane tänu ligipääsetavuse teenustele ekraanil olevaid elemente lugeda.
Avalikku kinnitust selle kohta hetkel pole. peamine jaotusvektorTeiste sarnaste pangatroojalaste mustri põhjal on aga väga tõenäoline, et see kasutab võltskampaaniaid (õngitsussõnumeid), sõnumite kaudu saadetavaid linke ja kolmandate osapoolte rakenduste poode, kuhu laaditakse üles tuntud rakenduste või väidetavate turvatööriistade võltsversioone.
Kuigi praegused valimid keskenduvad Poola kasutajatele ja konkreetsele üksusele, hindavad analüütikud, et On vaid aja küsimus, millal FvncBot kohaneb teiste riikide ja pankadega.Keele, logode ja ülekattemallide muutmine on suhteliselt lihtne.
SeedSnatcher: seemnefraas ja 2FA koodikütt
Kui FvncBoti peamine sihtmärk on traditsioonilised pangakontod, SeedSnatcher sihib täielikult krüptoökosüsteemiSee Androidi pahavaraperekond on spetsiaalselt loodud rahakoti seemnefraaside, privaatvõtmete ja üldiselt igasuguse teabe varastamiseks, mis võimaldab tal krüptovaluuta rahakotte kontrollida.
SeedSnatcherit levitatakse peamiselt järgmiste kanalite kaudu: Telegram ja muud sotsiaalmeedia kanalidkasutades nime „Coin”, et varjata end investeerimisrakenduse, krüptovaluuta haldustööriista või eksklusiivse reklaamina. Ründajad levitavad sageli linke väidetavalt legitiimsed APK-d, kasutades ära kauplemise, NFT-de või plokiahela uudistega seotud avalikke või erarühmi.
Pärast installimist ei käitu pahatahtlik rakendus alguses silmatorkavalt. Tegelikult on üks selle põhiomadusi see, et See nõuab vähe sisenemislubasid., tavaliselt juurdepääs SMS-idele või põhifunktsioonidele, et mitte äratada kahtlust ega käivitada hoiatusi turvalahendustes, mis keskenduvad liigsetele loataotlustele.
Kuid taustal hakkab SeedSnatcher oma arsenali kasutama. Kasutades ära täiustatud tehnikaid, nagu dünaamiline klasside laadimine ja varjatud sisu süstimine WebView'sseRakenduse funktsioone saab värskendada käsu- ja juhtimisserverist, seda saab reaalajas muuta või see saab mooduleid aktiveerida ainult siis, kui ohver avab teatud krüptovaluutaga seotud rakendused.
Üks ohtlikumaid funktsioone on võime näidata väga veenvad andmepüügikatted Need pettused jäljendavad tuntud rahakotirakenduste, börside või konto taastamise ekraanide välimust. Kasutaja usub, et sisestab oma seemnefraasi rahakoti taastamiseks või oma isiku tuvastamiseks, kuid tegelikkuses annab ta ründajale üle kogu oma raha.
Lisaks seemnefraasidele pealtkuulab SeedSnatcher ka sissetulevad SMS-sõnumid kaheastmelise autentimise (2FA) koodide jäädvustamiseksSee avab ukse kontode kaaperdamiseks börsiteenustes või kauplemisplatvormidel, mis tuginevad teise tegurina SMS-ile.
Pahavara ei piirdu ainult krüptomaailmaga: see on valmis ka seadmest andmete filtreeriminesealhulgas kontaktid, kõnelogid, mobiiltelefoni salvestatud failid ja muu teave, mis võib olla kasulik tulevaste pettuste kampaaniate või mustal turul müümise jaoks.
CYFIRMA-le omistatud uurimised viitavad sellele, et SeedSnatcheri operaatorid võivad olla Hiinas asuvad või hiina keelt kõnelevad rühmad, mis põhineb pahavaraga seotud juhtpaneelidel ja levituskanalites leiduvatel juhistel selles keeles.
SeedSnatcheri privileegide eskaleerimisprotsess järgib väga kalkuleeritud mustrit: see alustab minimaalsete õigustega ja hiljem taotleb rohkem. juurdepääs failihaldurile, ülekatetele, kontaktidele, kõnelogidele ja muudele ressurssideleSee astmeline käitumine aitab tal mööda hiilida heuristilistelt turvalahendustelt, mis aktiveeritakse massiliste loataotluste abil alates esimesest käivitamisest.
Visuaalse pettuse, SMS-varguse, lõikelaua jälgimise ja vaikse andmete väljavoolu kombinatsioon teeb SeedSnatcherist suurepärase See on kriitiline oht igale kasutajale, kes haldab krüptovaluutasid oma mobiilseadmest.eriti kui kasutate seemnefraasidel põhinevaid vabadusekaotuseta rahakotte.
ClayRat: modulaarne nuhkvara peaaegu täieliku seadmekontrolliga
Viimane tuvastatud iteratsioon paistab silma edasise kuritarvitamise poolest. ligipääsetavuse teenused ja SMS-ide vaikelubadTänu sellele saab ClayRat salvestada klahvivajutusi, lugeda seadmesse saabunud teavitusi, jälgida tundlikke rakendusi ning salvestada nii ekraani kui ka heli, muutes mobiiltelefoni tõeliseks jälgimisvahendiks.
See pahavara on loodud kuvama ülekatted, mis simuleerivad süsteemivärskendusi, musti ekraane või hooldusaknaidNeid kasutatakse pahatahtlike toimingute varjamiseks, samal ajal kui ründajad taustal seadet manipuleerivad. Kui kasutajad näevad "süsteemiuuenduse" või sarnast ekraani, kipuvad nad ootama ja midagi puudutamata, andes küberkurjategijatele kogu maailma aja töötamiseks.
Teine eriti murettekitav omadus on ClayRati võime avab seadme automaatseltOlenemata sellest, kas kasutate PIN-koodi, parooli või mustrit, annab see koos ekraanisalvestuse ja klahvivajutuste logimisega mobiilseadme üle täieliku kontrolli ilma, et kasutaja peaks oma volitusi korduvalt sisestama.
Viimastes kampaaniates on ClayRat levinud vähemalt 25 riigis. Õngitsusdomeenid, mis matkivad legitiimseid teenuseid, näiteks YouTube'iReklaamitakse väidetavat "Pro" versiooni, millel on taustal taasesitus ja 4K HDR tugi. Kasutajad laadivad rakenduse alla usus, et see on premium-versioon, ja installivad teadmatult nuhkvara.
On leitud ka Rakenduste mahalaadijad, mis teesklevad takso- ja parkimisrakendusi piirkondades nagu Venemaa. Need võltsrakendused toimivad ClayRati installimisvahenditena, sarnaselt FvncBoti kasutatavale mudelile, kus pealtnäha kahjutu rakendus laadib alla või aktiveerib tegeliku pahatahtliku komponendi.
Pahavara võib genereerida võltsitud ja interaktiivsed teated mis näivad pärinevat süsteemist või õigustatud rakendustest, et koguda kasutajalt vastuseid (näiteks koode, toimingute kinnitusi või täiendavaid lube), ilma et kasutaja oleks teadlik ründaja kontrollitava liidesega suhtlemisest.
Võrreldes eelmiste versioonidega on ClayRati uut varianti palju raskem eemaldada: selle püsivusmehhanismid ja võimalus oma tegevust varjata ülekatete ja ekraaniluku abil Nad teevad seda nii, et kasutajal on vähem võimalusi rakendust desinstallida või seadet õigeaegselt välja lülitada.
Need omadused koos kahtlusega, et see võib olla seotud APT-gruppidega, millel on võimalik riiklik sponsorlusNeed omadused teevad ClayRatist tänapäeval ühe ohtlikuma mobiilse nuhkvara tööriista, eriti ettevõtetes, kus kehtivad BYOD (Bring Your Own Device ehk oma seadme kaasa võtmise poliitika) poliitikad, kus töötajad kasutavad sisemistele süsteemidele juurdepääsuks oma isiklikke mobiiltelefone.
Levinud tehnikad: ligipääsetavus, ülekatted ja täiustatud vältimine
Kuigi FvncBotil, SeedSnatcheril ja ClayRatil on erinevad eesmärgid (traditsiooniline pangandus, krüptovaluutad või täiustatud spionaaž), on neil ühine peamised taktikad ja tehnikad mis selgitab, miks nad saavutavad päris kampaaniates nii palju edu.
En krunt Lugar, el Androidi ligipääsetavuse teenuste kuritarvitamine Sellest on saanud tänapäevase pahavara nurgakivi. See funktsioon, mis oli algselt loodud puuetega inimeste seadmega suhtlemise abistamiseks, võimaldab lugeda liidese sisu, tuvastada ekraanimuudatusi ja automatiseerida toiminguid, mis on äärmiselt kasulik nii kasutatavuse kui ka küberkuritegevuse seisukohast.
Teine ühine element on intensiivne kasutamine pealiskihid, mis jäljendavad õigustatud rakendusiAsetades võltsekraani päris rakendusele – olgu see siis pank, krüptorahakott või populaarne teenus – saavad ründajad jäädvustada kasutaja sisestatud volitusi, isikuandmeid ja muud teavet ilma sihtrakendust otseselt ohtu seadmata.
Lisaks integreeruvad need troojalased täiustatud kõrvalehoidmise tehnikad raskendada selle analüüsi ja tuvastamist; õppida skannige pahavara Google Play ProtectigaKoodi hägustamine, välised krüpteerimisteenused nagu apk0day, klasside dünaamiline laadimine (laadimine laaditakse käsu- ja juhtimisserverist alla ainult vajadusel) ja isegi täisarvupõhised käsklused, et muuta liiklus vähem ilmseks.
Ka ründajate serveritega suhtlemine on muutunud keerukamaks. Firebase'i pilvesõnumid tellimuste vastuvõtmiseksReaalajas kontrolli tagamiseks mõeldud WebSocket-ühenduste loomine ja andmete diskreetne väljavool HTTP või HTTPS-i kaudu põhjustab pahatahtliku liikluse segunemise seadusliku liiklusega, mistõttu on seda ettevõtte- või koduvõrkudes raske tuvastada.
Kõik see on ühendatud a-ga väga viimistletud sotsiaalse inseneritööNeed rakendused teesklevad end Google Play komponentideks, turvarakendusteks, ametlikeks pangatööriistadeks, populaarsete platvormide (nt YouTube) „Pro” versioonideks või nõutud teenusteks (nt taksod ja parkimine). Eesmärk on vähendada kasutaja valvsust ja veenda teda andma kriitilisi lube ilma kaks korda mõtlemata.
Kuidas kaitsta oma Android-seadet FvncBoti, SeedSnatcheri ja ClayRati eest
Ükski meede pole lollikindel, kuid heade tavade rakendamine vähendab drastiliselt selliste kampaaniate ohvriks langemise tõenäosust nagu FvncBot, SeedSnatcher või ClayRatPaljud rünnakud tuginevad kasutaja hooletusele ja halvasti konfigureeritud seadmetele.
Esimene reegel on ilmselge, kuid samas kõige tõhusam: Paigalda rakendusi ainult usaldusväärsetest allikatest, näiteks Google Play või pakkujate ametlikud veebisaidid ja Vaadake üle ohtlike rakenduste nimekirjadAPK-de allalaadimine foorumites, Telegrami kanalites või tasuliste rakenduste tasuta versioone lubavate lehtede linkidelt on tänapäeval üks peamisi mobiilse pahavara sisenemispunkte.
Samuti on oluline Hoidke oma operatsioonisüsteem ja rakendused alati ajakohasedGoogle ja tootjad avaldavad sageli turvaauke parandavaid parandusi ning paljud troojalased tuginevad teadaolevatele vigadele, mida saaks vältida lihtsalt uusimate saadaolevate versioonide installimisega.
Paroolide ja autentimise haldamine on veel üks kriitiline punkt. tugevad võtmed, mis on iga teenuse jaoks unikaalsed ja võimaldavad kaheastmelist autentimist (2FA) Panganduses, e-posti teel, sotsiaalvõrgustikes ja krüptoplatvormidel lisab see täiendava kaitsekihi, kuigi nagu oleme näinud, üritab osa pahavara varastada ka 2FA-koode SMS-i teel.
Võimaluse korral on soovitatav valida Tugevamad 2FA meetodidnäiteks autentimisrakendused või füüsilised turvavõtmed traditsioonilise SMS-i asemel, mida on pahavaral, näiteks SeedSnatcheril, lihtsam pealt kuulata.
Teine oluline nipp on rahulikult üle vaadata rakenduste taotletud loadKui rakendus, mis väidetavalt võimaldab teil videoid vaadata, ilma kontrollida või parkimist hallata, taotleb täielikku juurdepääsu SMS-sõnumitele, ligipääsetavuse teenustele, kontaktidele või seadme haldamisele, siis olge kahtlustav. Paljud rünnakud tuginevad sellele, et kasutajad klõpsavad nuppu „Nõustu” ilma tingimusi lugemata.
Ettevõtluskeskkonnas peaksid organisatsioonid rakendama mobiilseadmete halduse (MDM) poliitikadPiirake volitamata rakenduste installimist ja tehke regulaarseid auditeid kahtlase käitumise avastamiseks. Lisaks on oluline koolitada töötajaid ära tundma andmepüügikatseid, olgu need siis SMS-i, e-posti või kiirsõnumite teel.
Edasijõudnud kasutajatel võib olla kasulik kombineerida ülaltoodud meetmeid spetsiifilised mobiilsed turvalahendused mis analüüsivad rakenduste käitumist, tuvastavad ligipääsetavuse kuritarvitamist ja kontrollivad pidevalt seadme terviklikkust. Siiski ei saa ükski tehniline tööriist rakenduste installimisel ja kasutamisel asendada tervet mõistust.
Isiklikul tasandil on soovitatav omaks võtta teatud harjumused: Olge ootamatute linkide suhtes ettevaatlik ja kontrollige mandaati küsivate veebisaitide URL-e.Väldi tundmatute rakenduste installimise järel kuvatavatele ekraanidele algsete fraaside või pangarekvisiitide sisestamist ning kahtluse korral võta otse ametlike kanalite kaudu ühendust üksuse või teenusega.
FvncBoti, SeedSnatcheri ja uuendatud ClayRati tekkimine näitab seda Lahinguväli on kolinud mobiilsesse keskkonda. sama või isegi suurema intensiivsusega kui lauaarvutis. Ligipääsetavuse kuritarvitamise, keerukate kihtide, VNC-tüüpi kaugjuhtimispuldi ja täiustatud pettuste kombinatsioon tähendab, et igasugune järelevalve võib kaasa tuua rahavarguse, rahakoti tühjendamise või digitaalse elu täieliku paljastamise. Telefoni kui prioriteetse sihtmärgi mõistmine ja vastavalt tegutsemine – hoolikas olemine installitava, antavate lubade ja kontode haldamise osas – on muutunud igapäevase turvalisuse võtmeelemendiks.
