Смартфоны на базе Android стали центром нашей цифровой жизни: банковские операции, криптовалюты, работа, социальные сети… и, к сожалению, также и… Излюбленная мишень киберпреступниковХотя многие пользователи по-прежнему считают, что с установить «антивирус» Всё уже позади, реальность такова, что вредоносное ПО для Android значительно усовершенствовалось и теперь напрямую конкурирует с традиционными угрозами для ПК.
В последние месяцы несколько лабораторий, занимающихся вопросами безопасности, сосредоточили свое внимание на трех очень специфических группах: FvncBot, SeedSnatcher и улучшенная версия ClayRatЭто не просто трояны, которые показывают надоедливую рекламу: речь идёт о вредоносном ПО, способном удалённо управлять вашим мобильным телефоном, красть банковские учётные данные, опустошать криптовалютные кошельки, записывать нажатия клавиш или даже автоматически разблокировать устройство, используя при этом службы специальных возможностей и наложения на экран, которые очень трудно обнаружить невооружённым глазом.
Эксперты по кибербезопасности уже некоторое время наблюдают за ускоренная эволюция вредоносного ПО для Androidс помощью кампаний, направленных не только на заражение домашних пользователей, но и сотрудников компаний, а также лиц, имеющих доступ к конфиденциальной информации или соответствующим экономическим фондам.
За этими угрозами мы обнаруживаем обе группы, обладающие чисто финансовая мотивация в качестве продвинутых субъектов (APT) с возможными связями с государством, особенно в случае шпионского ПО, такого как ClayRat, ориентированного на шпионаж на дальние расстояния, кражу данных и отслеживание конкретных жертв.
Методы взлома устройств Android в значительной степени основаны на социальная инженерия и распространение вредоносных приложений за пределами Google PlayОднако уязвимыми становятся также сторонние магазины приложений, фишинговые домены, имитирующие популярные сервисы, и мессенджеры, такие как Telegram, где распространяются ссылки на модифицированные APK-файлы.
Эти новые трояны используют в своих целях легитимные функции системы, особенно... службы обеспечения доступности, наложения на экран и API MediaProjection. (используются для записи или демонстрации экрана), превращая их в инструменты шпионажа и финансовое мошенничество Чрезвычайно эффективно.
В этом контексте особенно выделяются три компании, которые уже часто упоминаются в технических отчетах: FvncBot, SeedSnatcher и ClayRatКаждая из них использует свою тактику, но всех их объединяет одна цель: украсть как можно больше информации и сохранить контроль над устройством, не вызывая подозрений.
Все более агрессивная среда угроз для мобильных устройств
Эксперты по кибербезопасности уже некоторое время наблюдают за ускоренная эволюция вредоносного ПО для Androidс помощью кампаний, направленных не только на заражение домашних пользователей, но и сотрудников компаний, а также лиц, имеющих доступ к конфиденциальной информации или соответствующим экономическим фондам.
За этими угрозами мы обнаруживаем обе группы, обладающие чисто финансовая мотивация в качестве продвинутых субъектов (APT) с возможными связями с государством, особенно в случае шпионского ПО, такого как ClayRat, ориентированного на шпионаж на дальние расстояния, кражу данных и отслеживание конкретных жертв.
Методы взлома устройств Android в значительной степени основаны на социальная инженерия и распространение вредоносных приложений Помимо Google Play, уязвимыми также являются сторонние магазины, фишинговые домены, имитирующие популярные сервисы, и мессенджеры, такие как Telegram, где распространяются ссылки на модифицированные APK-файлы.
Эти новые трояны используют в своих целях легитимные функции системы, особенно... службы обеспечения доступности, наложения на экран и API MediaProjection. (используются для записи или демонстрации экрана), превращаясь в чрезвычайно эффективные инструменты для шпионажа и финансового мошенничества.
В этом контексте особенно выделяются три компании, которые уже часто упоминаются в технических отчетах: FvncBot, SeedSnatcher и ClayRatКаждая из них использует свою тактику, но всех их объединяет одна цель: украсть как можно больше информации и сохранить контроль над устройством, не вызывая подозрений.
FvncBot: банковский троян с дистанционным управлением типа VNC.
Их главный трюк — притвориться приложение безопасности, связанное с mBankИзвестное польское финансовое учреждение. Пользователь считает, что устанавливает легитимное приложение, повышающее безопасность мобильного банкинга, тогда как на самом деле устанавливается троянская программа, способная записывать все его действия и удаленно получать контроль над его мобильным устройством.
Процесс заражения начинается через приложение-«загрузчик», которое действует как загрузчик. Это приложение защищено службой обфускации и шифрования, известной как apk0day, предоставлено компанией Golden CryptЭто затрудняет анализ кода и его идентификацию с помощью решений в области безопасности. При открытии приложение отображает сообщение, предлагающее пользователю установить якобы «компонент Google Play» для повышения стабильности или защиты системы.
В действительности этот компонент сам по себе является вредоносная полезная нагрузка от FvncBotЭта вредоносная программа использует сессионный подход для обхода ограничений доступа, введенных в Android 13. Таким образом, даже в последних версиях операционной системы вредоносная программа получает необходимые разрешения для просмотра и контроля практически всего на устройстве.
После запуска FvncBot запрашивает у пользователя разрешение. разрешения служб доступностиЕсли жертва соглашается, троянская программа получает своего рода «сверхспособности» внутри системы: она может считывать отображаемую на экране информацию, определять, какие приложения открыты, имитировать нажатия клавиш, отображать окна поверх других приложений или записывать нажатия клавиш в конфиденциальной форме, например, при входе в банковский аккаунт.
В процессе своей деятельности вредоносная программа отправляет события и журналы на удаленный сервер, связанный с доменом naleymilva.it.comЭто использовалось операторами для мониторинга состояния каждого зараженного устройства. Проанализированные образцы показали идентификатор сборки «call_pl», который явно указывает на Польшу как на целевую страну, и версию с пометкой «1.0-P», что говорит о том, что FvncBot все еще находится на ранних стадиях разработки и может продолжать развиваться.
После регистрации устройства FvncBot взаимодействует со своей инфраструктурой управления и контроля, используя HTTP и Firebase Cloud Messaging (FCM)По этим каналам система получает инструкции в режиме реального времени и может изменять свое поведение в соответствии с указаниями злоумышленников, активируя или деактивируя определенные модули в зависимости от типа жертвы или текущей кампании.
Среди функций, описанных в этом трояне, несколько выделяются как особенно важные, например, способность Запуск или остановка соединений WebSocket которые позволяют удаленно управлять устройством: злоумышленники могут проводить пальцем по экрану, нажимать, прокручивать, открывать приложения или вводить данные практически так же, как если бы они держали телефон в руке.
Кроме того, FvncBot проникает события доступности, списки установленных приложений и информация об устройстве. (модель, версия, конфигурация и т. д.), чтобы у операторов был полный список целей, они знали, какие банковские или криптовалютные приложения присутствуют, и могли развертывать вредоносные оверлеи только на тех приложениях, которые их действительно интересуют.
Троянский конь готов показать себя. полноэкранные фальшивые экраныИмитируя банковские интерфейсы или другие сервисы, вредоносная программа перехватывает учетные данные, данные карт или одноразовые коды. Она также может скрывать эти наложения, когда они больше не нужны, поэтому жертва практически не замечает необычного поведения, за исключением возможного мерцания экрана, которое она обычно списывает на простую визуальную ошибку.
Еще одна примечательная особенность FvncBot — это использование... API MediaProjection для потоковой передачи изображения на экран в реальном времени.Это, в сочетании с удаленным управлением через HVNC (Hidden Virtual Network Computing), позволяет злоумышленникам видеть именно то, что видит жертва, и управлять банковским приложением с полной свободой, даже в приложениях, которые пытаются блокировать создание скриншотов с помощью флага FLAG_SECURE.
Для преодоления этого ограничения FvncBot включает в себя «текстовый режим», который анализирует текст. Содержимое интерфейса даже в тех случаях, когда традиционные методы захвата изображения невозможны.Таким образом, даже если банковское или платежное приложение блокирует создание скриншотов по соображениям безопасности, трояну удается прочитать элементы на экране благодаря службам специальных возможностей.
На данный момент публичного подтверждения этой информации нет. основной вектор распределенияОднако, судя по схеме других подобных банковских троянов, весьма вероятно, что он будет использовать фишинговые SMS-кампании, ссылки, рассылаемые через мессенджеры, и сторонние магазины приложений, куда загружаются поддельные версии известных приложений или якобы средств защиты.
Хотя текущие выборки сосредоточены на польских пользователях и конкретной организации, аналитики предполагают, что Это лишь вопрос времени, когда FvncBot адаптируется к условиям других стран и банков.Изменить язык, логотипы и шаблоны наложений довольно легко.
SeedSnatcher: поиск сид-фраз и кодов двухфакторной аутентификации.
Если основная целевая аудитория FvncBot — традиционные банковские счета, SeedSnatcher полностью нацелен на криптоэкосистему.Это семейство вредоносных программ для Android специально разработано для кражи сид-фраз кошельков, закрытых ключей и, в целом, любой информации, которая позволяет им получить контроль над криптовалютными кошельками.
SeedSnatcher распространяется преимущественно через Telegram и другие социальные сетиЗлоумышленники используют название «Coin», чтобы замаскироваться под инвестиционное приложение, инструмент управления криптовалютой или эксклюзивную акцию. Часто они распространяют ссылки на предположительно легитимные APK-файлыиспользуя публичные или частные группы, связанные с торговлей, NFT или новостями о блокчейне.
После установки вредоносное приложение поначалу не проявляет никаких заметных признаков активности. На самом деле, одной из его ключевых характеристик является то, что Для въезда требуется лишь несколько разрешений.Обычно это доступ к SMS или основным функциям, чтобы не вызывать подозрений или не запускать оповещения в системах безопасности, ориентированных на избыточные запросы разрешений.
Однако в фоновом режиме SeedSnatcher начинает развертывать свой арсенал, используя передовые методы, такие как... Динамическая загрузка классов и скрытое внедрение контента в WebViewПриложение может обновлять функциональные возможности с сервера управления и контроля, модифицироваться на лету или активировать модули только тогда, когда жертва открывает определенные приложения, связанные с криптовалютой.
Одна из самых опасных функций — это способность демонстрировать очень убедительные фишинговые наложения Эти мошеннические схемы имитируют внешний вид известных приложений-кошельков, бирж или экранов восстановления аккаунта. Пользователь считает, что вводит свою сид-фразу для восстановления кошелька или подтверждения личности, но на самом деле он передает контроль над всеми своими средствами злоумышленнику.
Помимо исходных фраз, SeedSnatcher перехватывает Входящие SMS-сообщения для сбора кодов двухфакторной аутентификации (2FA)Это открывает возможности для взлома учетных записей на биржевых сервисах или торговых платформах, которые используют SMS в качестве второго фактора.
Вредоносное ПО не ограничивается миром криптовалют: оно также предназначено для других целей. извлечь данные с устройствавключая контакты, журналы звонков, файлы, хранящиеся на мобильном телефоне, и другую информацию, потенциально полезную для будущих мошеннических кампаний или для продажи на черном рынке.
Расследования, проводимые организацией CYFIRMA, предполагают, что операторами SeedSnatcher могут быть... группы, базирующиеся в Китае или говорящие на китайском языкена основе инструкций на этом языке, содержащихся в панелях управления и каналах распространения, связанных с вредоносным ПО.
Процесс повышения привилегий в SeedSnatcher следует тщательно продуманной схеме: он начинается с минимальных разрешений, а затем запрашивает дополнительные. Доступ к файловому менеджеру, наложениям, контактам, журналам звонков и другим ресурсам.Такое поэтапное поведение помогает обходить основанные на эвристических методах решения проблем безопасности, которые активируются массовыми запросами на предоставление разрешений с момента первой загрузки.
Сочетание визуального обмана, кражи SMS-сообщений, мониторинга буфера обмена и скрытой утечки данных делает SeedSnatcher идеальным инструментом. Это представляет собой серьезную угрозу для любого пользователя, работающего с криптовалютами со своего мобильного устройства.особенно если вы используете некастодиальные кошельки, основанные на сид-фразах.
ClayRat: модульное шпионское ПО с практически полным контролем над устройством.
Последняя обнаруженная версия выделяется как еще одна, использующая злоупотребления. службы специальных возможностей и разрешения на отправку SMS по умолчаниюБлагодаря этому ClayRat может записывать нажатия клавиш, считывать уведомления, полученные на устройстве, отслеживать работу конфиденциальных приложений, а также записывать экран и звук, превращая мобильный телефон в настоящий инструмент слежки.
Эта вредоносная программа предназначена для отображения наложения, имитирующие обновления системы, черные экраны или окна технического обслуживания.Эти средства используются для сокрытия вредоносных действий, пока злоумышленники манипулируют устройством в фоновом режиме. Когда пользователи видят экран «обновление системы» или что-то подобное, они, как правило, ждут, ничего не трогая, предоставляя киберпреступникам массу времени для работы.
Ещё одной особенно тревожной особенностью является способность КлейРэта... автоматически разблокировать устройствоНезависимо от того, используете ли вы PIN-код, пароль или графический ключ, это в сочетании с записью экрана и регистрацией нажатий клавиш обеспечивает полный контроль над мобильным устройством без необходимости повторного ввода учетных данных пользователем.
В ходе последних кампаний ClayRat распространился как минимум на 25 видов. Фишинговые домены, имитирующие легитимные сервисы, такие как YouTube.Приложение рекламирует якобы "профессиональную" версию с фоновым воспроизведением и поддержкой 4K HDR. Пользователи скачивают приложение, полагая, что это премиум-версия, и, сами того не подозревая, устанавливают шпионское ПО.
Также были найдены Приложения-дропперы, маскирующиеся под приложения для заказа такси и парковки. в таких регионах, как Россия. Эти поддельные приложения выступают в качестве средств установки для ClayRat, подобно модели, используемой FvncBot, где, казалось бы, безобидное приложение загружает или активирует настоящий вредоносный компонент.
Вредоносное ПО может создавать поддельные и интерактивные уведомления которые выглядят так, будто исходят из системы или легитимных приложений, с целью сбора ответов от пользователя (например, кодов, подтверждений операций или дополнительных разрешений) без ведома пользователя о том, что он взаимодействует с интерфейсом, контролируемым злоумышленником.
По сравнению с предыдущими версиями, новый вариант ClayRat гораздо сложнее удалить: его механизмы сохранения активности и его возможность маскировать свою активность с помощью наложений и блокировки экрана. Они уменьшают вероятность того, что у пользователя будет достаточно возможностей удалить приложение или вовремя выключить устройство.
Эти характеристики в сочетании с подозрением, что это может быть связано с группами APT, возможное государственное спонсорствоЭто делает ClayRat одним из самых опасных инструментов для слежки за мобильными устройствами на сегодняшний день, особенно в корпоративных средах с политикой BYOD (Bring Your Own Device), когда сотрудники используют свои личные мобильные телефоны для доступа к внутренним системам.
Распространенные методы: обеспечение доступности, наложения и сложные методы обхода защиты.
Хотя у FvncBot, SeedSnatcher и ClayRat разные цели (традиционное банковское дело, криптовалюты или продвинутый шпионаж), у них есть общий набор задач. ключевые тактики и методы что объясняет, почему они добиваются такого успеха в реальных кампаниях.
Во-первых, злоупотребление службами специальных возможностей Android Это стало краеугольным камнем современного вредоносного ПО. Эта функциональность, изначально разработанная для облегчения взаимодействия людей с ограниченными возможностями с устройством, позволяет считывать содержимое интерфейса, обнаруживать изменения на экране и автоматизировать действия, что чрезвычайно полезно… как для удобства использования, так и для киберпреступлений.
Ещё одним общим элементом является интенсивное использование наложения для имитации легитимных приложенийРазместив поддельный экран поверх реального приложения — будь то банк, криптовалютный кошелек или популярный сервис — злоумышленники могут перехватить учетные данные, личные данные и любую информацию, введенную пользователем, без необходимости напрямую компрометировать целевое приложение.
Кроме того, эти трояны интегрируют продвинутые методы уклонения усложнить его анализ и обнаружение; научиться сканирование на наличие вредоносных программ с помощью Google Play Protect: обфускация кода, внешние службы шифрования, такие как apk0day, динамическая загрузка классов, которые загружаются с сервера управления и контроля только при необходимости, и даже целочисленные командные инструкции, чтобы сделать трафик менее заметным.
Взаимодействие с серверами злоумышленников также стало более изощренным. Использование Система обмена сообщениями Firebase Cloud Messaging для получения заказов.Установление соединений WebSocket для управления в реальном времени и скрытая утечка данных через HTTP или HTTPS приводят к тому, что вредоносный трафик смешивается с легитимным, что затрудняет его идентификацию в корпоративных или домашних сетях.
Всё это сочетается с Очень качественная работа в области социальной инженерии.Эти приложения маскируются под компоненты Google Play, приложения для обеспечения безопасности, официальные банковские инструменты, «профессиональные» версии популярных платформ, таких как YouTube, или востребованные сервисы, такие как такси и парковка. Цель состоит в том, чтобы снизить бдительность пользователя и убедить его предоставить важные разрешения, не задумываясь.
Как защитить ваше устройство Android от FvncBot, SeedSnatcher и ClayRat
Ни одна мера не является абсолютно надежной, но применение основных правил значительно снижает вероятность попадания в ловушку подобных кампаний. FvncBot, SeedSnatcher или ClayRatМногие атаки основаны на небрежности пользователей и неправильно настроенных устройствах.
Первое правило очевидно, но остается самым эффективным: Устанавливайте приложения только из проверенных источников.например, в Google Play или на официальных сайтах провайдеров, и просматривайте списки опасных приложенийВ настоящее время загрузка APK-файлов по ссылкам на форумах, в Telegram-каналах или на страницах, обещающих бесплатные версии платных приложений, является одним из основных способов проникновения мобильного вредоносного ПО.
Это также крайне важно. Всегда обновляйте свою операционную систему и приложения.Google и производители часто выпускают обновления, исправляющие уязвимости безопасности, и многие трояны используют известные недостатки, которых можно было бы избежать, просто установив последние доступные версии.
Управление паролями и аутентификацией — еще один важный момент. Используйте Надежные ключи, уникальные для каждой службы, и возможность двухфакторной аутентификации (2FA). В банковской сфере, электронной почте, социальных сетях и криптовалютных платформах это добавляет дополнительный уровень защиты, хотя, как мы уже видели, некоторые вредоносные программы также пытаются украсть коды двухфакторной аутентификации через SMS.
По возможности рекомендуется отдавать предпочтение Более надежные методы двухфакторной аутентификациинапример, приложения для аутентификации или физические ключи безопасности, вместо традиционных SMS-сообщений, которые легче перехватить вредоносным ПО, таким как SeedSnatcher.
Еще один важный совет — спокойно пересмотреть разрешения, запрашиваемые приложениямиЕсли приложение, которое якобы позволяет смотреть видео, проверять погоду или управлять парковкой, запрашивает полный доступ к SMS-сообщениям, службам специальных возможностей, контактам или администрированию устройства, будьте подозрительны. Многие атаки основаны на том, что пользователи нажимают кнопку «Принять», не читая условия.
В корпоративной среде организациям следует внедрять политики управления мобильными устройствами (MDM)Ограничьте установку несанкционированных приложений и проводите регулярные проверки для выявления подозрительного поведения. Кроме того, крайне важно обучить сотрудников распознавать попытки фишинга, будь то через SMS, электронную почту или мессенджеры.
Для опытных пользователей может быть полезно сочетать вышеуказанные меры с конкретные решения для обеспечения безопасности мобильных устройств которые анализируют поведение приложений, выявляют нарушения доступности и постоянно проверяют целостность устройства. Однако ни один технический инструмент не может заменить здравый смысл при установке и использовании приложений.
На личном уровне целесообразно выработать определенные привычки: Остерегайтесь неожиданных ссылок и проверяйте URL-адреса веб-сайтов, запрашивающих учетные данные.Избегайте ввода сид-фраз или банковских реквизитов на экранах, появляющихся после установки неизвестных приложений, и, в случае сомнений, свяжитесь с организацией или сервисом напрямую через официальные каналы.
Появление FvncBot, SeedSnatcher и обновленного ClayRat демонстрирует, что Боевая система переместилась на мобильные устройства. С той же или даже большей интенсивностью, что и на настольном компьютере. Сочетание злоупотребления доступом, сложных наложений, удаленного управления типа VNC и продвинутых методов обхода означает, что любая ошибка может привести к краже денег, опустошению кошелька или полной утечке информации о цифровой жизни. Понимание того, что телефон является приоритетной целью, и соответствующие действия — осторожность в отношении того, что мы устанавливаем, какие разрешения предоставляем и как управляем своими учетными записями — стали ключевым элементом повседневной безопасности.
