Нове шкідливе програмне забезпечення для Android може таємно спустошувати ваші банківські рахунки

Дослідники виявили нове шкідливе програмне забезпечення, яке отримує глибокий доступ до смартфона та високорівневі дозволи через бездротовий ADB, що дозволяє зловмисникам спустошувати банківські рахунки жертв. Бездротовий ADB (Android Debug Bridge) є інструментом, який значно спрощує роботу розробникам і досвідченим користувачам Android.

Читайте также: Витік DOOM 4: концепт-арти та геймплей гри, яку id Software розробляла 5 років і скасувала


Водночас саме такі можливості дедалі частіше використовуються кіберзлочинцями для проведення масштабних фінансових шахрайств. Новий звіт детально описує одну з таких шкідливих кампаній. Дослідницька компанія з кібербезпеки Group-IB повідомляє, що троян віддаленого доступу (RAT) для Android, відомий як RedHook, заражає пристрої після того, як користувач переходить за посиланням, отриманим через SMS, телефонний дзвінок, електронну пошту або соціальні мережі.

“Зловмисники можуть видавати себе за співробітників служби підтримки або представників відомих організацій, щоб переконати потенційну жертву встановити шкідливу програму. Після цього користувача спрямовують на підроблений вебсайт, який зовні дуже нагадує Google Play Store, де пропонується завантажити APK-файл”, — пише Android Authority.

Після встановлення застосунку користувача обманом змушують надати йому дозвіл на використання спеціальних можливостей (Accessibility Services), пояснюючи це необхідністю для коректної роботи програми. Отримавши ці дозволи, шкідливе програмне забезпечення може непомітно активувати бездротовий ADB через меню параметрів розробника та отримати доступ до оболонки системи (UID 2000).

“На цьому етапі RedHook фактично отримує повний контроль над смартфоном. Зловмисники можуть відстежувати натискання клавіш, розблоковувати екран пристрою та переглядати його вміст у режимі реального часу”, — попереджає Android Authority.

Вперше RedHook був виявлений дослідниками компанії Cyble минулого року. Нинішня версія значно вдосконалена та використовує нові методи приховування своєї присутності. Наприклад, вона застосовує WakeLock, щоб не дозволяти системі завершувати її роботу. Крім того, троян утримує екран пристрою активним, створюючи майже непомітний піксель розміром 1×1, через що Android вважає процес важливим і не припиняє його виконання.

Читайте также: Dragon’s Dogma 2: Dark Arisen запропонує понад 25 годин нового контенту


“Ще однією особливістю нової версії RedHook став так званий “механізм міжпроцесного відновлення двох служб””, — кажуть у Group-IB.

Простими словами, це дві взаємопов’язані служби, які автоматично перезапускають одна одну після спроби їх зупинити, що суттєво ускладнює повне видалення шкідливого програмного забезпечення.

Що можна зробити, щоб залишатися в безпеці?

Як і у випадку з іншими подібними загрозами, експерти рекомендують завантажувати програми виключно з офіційного магазину Google Play. Якщо ж виникає необхідність встановити APK-файл вручну, слід уважно перевіряти його походження та з особливою обережністю ставитися до будь-яких запитів на надання дозволів.

Нещодавно з’явилися ознаки того, що Android у майбутньому може закрити цю лазівку, обмеживши доступ до параметрів розробника в межах функції “Додатковий захист”. Проте доки ця можливість офіційно не стане доступною, найкращим способом захисту залишається відмова від переходу за підозрілими посиланнями, отриманими електронною поштою, у SMS або через соціальні мережі.

Читайте также: Підпис на мільйон: користувач втратив $999 999 в Ethereum через фішинг

Джерело: Android Authority

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *