Шесть новых семейств вредоносных программ для Android атакуют финансовые транзакции, угрожая мобильному банкингу и криптоактивам
Исследователи в области кибербезопасности обнаружили группу из шести различных семейств вредоносных программ для Android, созданных для хищения конфиденциальных данных с зараженных устройств и проведения изощренных финансовых мошенничеств. Это открытие знаменует значительную эскалацию мобильных угроз, выходящих за рамки простой кражи данных к перехвату транзакций в реальном времени. В эту группу входят традиционные банковские трояны, такие как PixRevolution, TaxiSpy RAT, BeatBanker, Mirax и Oblivion RAT, а также более продвинутые инструменты удаленного администрирования, подобные SURXRAT. Совокупно эти угрозы нацелены на широкий спектр финансовых сервисов, включая национальные системы мгновенных платежей, традиционные банковские приложения и криптовалютные кошельки, создавая серьезную опасность для финансовой безопасности пользователей.
Особую тревогу вызывает штамм под названием PixRevolution, разработанный специально для атак на широко распространенную в Бразилии систему мгновенных платежей Pix. Согласно анализу компании Zimperium, этот вредонос действует с высокой степенью скрытности, оставаясь в спящем режиме до момента инициации жертвой перевода через Pix. Именно в этот критический момент он активизируется. Исследователь Аазим Ясвант подчеркнул новизну операционной модели, заявив, что угроза отличается от обычных банковских троянов фундаментально: на удаленной стороне активно задействован человеческий или ИИ-оператор, наблюдающий за экраном телефона жертвы в реальном времени и готовый действовать в точный момент транзакции.
Цепочка заражения обычно начинается с социальной инженерии. Злоумышленники создают поддельные страницы в официальном магазине Google Play, выдавая себя за легитимные приложения таких организаций, как Expedia, Sicredi и Correios. Ничего не подозревающие пользователи, загружая эти приложения, устанавливают вредоносные APK-файлы-дропперы. После установки приложения агрессивно запрашивают разрешение на доступ к Службам специальных возможностей Android, что предоставляет вредоносной программе обширный контроль над интерфейсом и функциями устройства.
Для обеспечения устойчивости и связи вредоносное ПО устанавливает соединение с командным сервером через TCP-порт 9000, отправляя регулярные heartbeat-сообщения с метаданными устройства и активируя функцию захвата экрана в реальном времени через Android MediaProjection API. Основная вредоносная функциональность позволяет операторам не только перехватывать SMS и уведомления, но и динамически подменять данные транзакций, перенаправляя средства на контролируемые злоумышленниками счета.
Эксперты настоятельно рекомендуют пользователям проявлять крайнюю осторожность при загрузке приложений, даже из официальных источников, тщательно проверять отзывы и запрашиваемые разрешения. Установка надежного мобильного антивирусного решения и регулярное обновление операционной системы являются критически важными мерами защиты. Данная кампания демонстрирует, что современные мобильные угрозы стали целенаправленными, изощренными и представляют прямую опасность для финансовых активов.
