Опасность для Android: новые вирусы FvncBot, SeedSnatcher и ClayRat
Эксперты в области кибербезопасности раскрыли подробности о двух новых семействах вредоносных программ для Android, получивших имена FvncBot и SeedSnatcher, а также сообщили о появлении модернизированного варианта трояна CayRalt. Информация поступила от исследовательских групп Intel 471, CYFIRMA и Zimperium соответственно.
Эти зловредные приложения представляют серьезную угрозу для владельцев мобильных устройств на базе Android, поскольку обладают способностью похищать конфиденциальные данные, перехватывать банковские транзакции и даже захватывать полный контроль над устройствами.
♻ Что известно о новом семействе FvncBot?
FvncBot маскируется под приложение безопасности якобы от польского банка mBank, направленное против мошенничества. Примечательно, что данное семейство написано с нуля и не заимствует исходный код других известных банковских троянов, таких как ERMAC, чьи коды ранее утекали в открытый доступ.
Заражение начинается следующим образом: жертву убеждают установить компонент Google Play для якобы усиления защиты и устойчивости приложения. На самом деле злоумышленники получают разрешение на доступ к специальным службам доступности Android, обходя ограничения последних версий операционной системы.
Далее вредоносное ПО получает повышенные привилегии, запрашивая доступ к службам доступности, используя их для связи с командным центром через протокол HTTP. Оно регистрирует зараженное устройство на удалённом сервере и принимает дальнейшие инструкции посредством сервиса Firebase Cloud Messaging (FCM).
♻ Среди ключевых функциональных возможностей FvncBot:
• Организация удалённого управления устройством через WebSocket соединение, позволяя удалённому оператору выполнять клики, свайпы и прокрутку экрана жертвы.
• Перехват действий пользователя с помощью службы Accessibility Services, что даёт возможность украсть введённую на устройстве информацию.
• Создание ложных окон поверх оригинальных приложений, предназначенных для кражи паролей и персональных данных.
• Получение списка установленных приложений и собирание сведений о телефоне и местоположении устройства.
• Отправка перехваченных сообщений и чувствительных данных операторам через скрытую связь с управляющим сервером.
Исследователи отмечают, что источником заражения чаще всего становятся сторонние магазины приложений и методы социальной инженерии, такие как фишинговые рассылки.
♻ Чем опасен троян SeedSnatcher?
SeedSnatcher распространяется под видом легитимного криптовалютного кошелька через мессенджер Telegram. Основная цель данного трояна — похищение приватных ключей криптовалютных кошельков, необходимых для восстановления активов в случае потери доступа.
Приложение способно красть одноразовые коды подтверждения (2FA), необходимые для входа в аккаунты жертв, перехватывать входящие СМС-сообщения и собирать контакты, журналы звонков, фотографии и личные данные.
Согласно результатам исследований группы CYFIRMA, операторы SeedSnatcher либо находятся в Китае, либо являются китайоговорящими пользователями, основываясь на используемых ими инструкциях и интерфейсе администрирования на китайском языке.
Троян использует продвинутые техники сокрытия следов активности, включая динамическое загрузочное ядро классов, скрытые инъекции контента в WebView и целочисленный метод отправки управляющих команд.
♻ Какие опасности таит в себе новая версия ClayRat?
Zimperium сообщила о модернизации трояна ClayRat, наделившего его дополнительными возможностями для эксплуатации уязвимых сервисов Android и служб уведомлений. Новая версия ClayRat научилась злоупотреблять службами доступности и штатными правами доступа к SMS-сообщениям, что превращает его в гораздо более опасную угрозу.
♻ Среди новшеств ClayRat:
• Захват устройства путём автоматической разблокировки PIN-кодов, паттернов и паролей.
• Запись происходящего на экране и сбор истории уведомлений.
• Экранизация фальшивых всплывающих окон, имитирующих обновление системы, что затрудняет обнаружение атаки.
• Генерация поддельных интерактивных уведомлений для сбора вводимых жертвой данных.
Распространение осуществляется через фейковые домены, имитирующие сервисы YouTube и обещающие премиальные возможности для проигрывания музыки в фоне и поддержки HDR-качества видео. Кроме того, найдены подделки российских приложений такси и парковочных сервисов.
Новая версия ClayRat представляет значительную опасность, так как усложнила процедуру удаления вредоносного ПО вручную или перезагрузки устройства.
♻ Итог
Все перечисленные вредоносные программы подчёркивают важность осторожности при установке незнакомых приложений и рекомендаций избегать загрузки программ из ненадежных источников. Современные средства защиты от угроз на Android должны учитывать потенциальные риски и предупреждать пользователей о возможных атаках через службы доступности и уведомления.
Продолжают появляться новые способы уклонения от обнаружения антивирусных решений, а механизмы взлома, направленные на эксплуатацию специальных служб Android, требуют повышенного внимания и тщательной проверки установленных приложений.
При возникновении подозрений на наличие вредоносного ПО рекомендуется немедленно обратиться к специалистам по информационной безопасности для предотвращения дальнейших последствий.
