Android троянски кон, маскиран като услуги: пълно ръководство

Лос Троянски коне за Android които се представят за легитимни услуги Те са се превърнали в една от най-сериозните заплахи за всеки, който използва мобилен телефон за чат, игри, пазаруване или управление на банковите си сметки. Не говорим само за досадни вируси, които показват реклами, а за изключително напреднали семейства злонамерен софтуер, способни... дистанционно да управляват устройството, да крадат пари, да шпионират разговори и дори да изтриват данните от телефона. да не оставя следа.

През последните години бяха открити различни кампании, които се възползват от фалшиви приложения, манипулиран фърмуер, модифицирани игри или пиратски версии на популярни приложения Да се ​​промъкнат следните видове троянски коне: Android.Phantom, Triada, BRATA, RatOn, Joker и варианти на банкови троянски коне, които използват услуги за достъпност. Всички те имат нещо общо: Те се маскират като нещо на пръв поглед безобидно така че потребителят да намали гарда си и да му предостави критични разрешения, които отварят вратата към цялата система. За откриване на дълбоки компромиси, като например подправен фърмуер, се препоръчват специализирани инструменти (Използвайте MVT, за да разберете дали вашият Android е бил хакнат).

Какво е троянски кон за Android и защо е толкова опасен?

Троянски кон, или Троянски кон на AndroidТроянският кон е вид злонамерен софтуер, който се маскира като полезно приложение или файл, за да подмами потребителя да го инсталира доброволно. За разлика от други видове злонамерен софтуер, троянският кон обикновено не се разпространява самостоятелно; възползвайте се от доверието на потребителите в приложение, игра, линк или предполагаема услуга, за да влязат в системата.

В Android тези троянски коне могат да се маскират като банкови приложения, инструменти за продуктивност, медийни плейъри, игри, приложения за съобщения или дори системни актуализацииСлед като влязат вътре, целта обикновено е да откраднат идентификационни данни, финансови данни, SMS кодове за потвърждение или да отвлекат акаунти в социалните медии. изпращане на спам или използване на мобилния ви телефон като част от компрометирана мрежа от устройства.

За да постигнат това, много от тези злонамерени програми злоупотребяват с Услуги за достъпност на Android, функция, предназначена да помогне на хора със зрителни или двигателни затруднения, но която също така позволява на нападателя да чете какво е на екрана, да натиска виртуални бутони, да си предоставя нови разрешения и дори да инсталира други приложения, без потребителят да се намесва.

Освен това, съвременните троянски коне често включват допълнителни модули, способни Промяна на връзки в браузъра, прихващане на известия, запис на екрана, активиране на фонов прокси сървър или клониране на NFC данни да извършват напреднали измами. Резултатът е, че мобилният ви телефон може да се превърне в просто още един инструмент в ръцете на киберпрестъпниците.

Android.Phantom: Троянският кон, който използва машинно обучение и се крие в игри и модове

Едно от най-забележителните скорошни семейства е Android.PhantomОткрит от изследователи в лабораторията за киберсигурност Doctor Web. Този троянски кон се разпространява предимно чрез модифицирани популярни игри и приложенияи се откроява, защото включва техники на машинно обучение да автоматизират злонамерената си дейност.

Android.Phantom може да работи в два различни режима, които се активират според командите на отдалечен сървър за командване и управление: режим на призрак y режим на сигнализиранеБлагодарение на тези два операционни профила, зловредният софтуер е способен както да генерира рекламни измами, така и да използва заразеното устройство за много по-сериозни дейности, като например разпределени атаки тип „отказ от услуга“ (DDoS) или скрито споделяне на данни.

В разговора режим на призракТроянският кон зарежда уеб съдържание във фонов режим и симулира кликвания върху злонамерени реклами, използвайки автоматизирани скриптове, които разчитат на TensorFlowJS, рамка за машинно обучение за JavaScript. Всичко това се случва, без потребителят да вижда нищо на екрана, което прави изключително трудно да се установи, че нещо не е наред.

Когато на режим на сигнализиранеAndroid.Phantom е способен обмен на данни, аудио и видео в реално време без да е необходимо да се инсталират нови програми. По този начин компрометираният мобилен телефон може да се превърне в активен възел в рамките на инфраструктура за злоупотреба, например за координиране на атаки, препредаване на съдържание или за да служи като трамплин за други онлайн престъпления.

Голямата опасност от това семейство е не само рекламната измама, но и масовото използване на заразени телефони като... инструменти за изпращане на спам, участие в онлайн измами, стартиране на DDoS атаки или кражба на лична информацияВъпреки че много от тези действия са безшумни, те често оставят следи: необичайно висока консумация на батерия, увеличен трафик на мобилни данни без ясно обяснение и много по-бавна цялостна производителност.

Според Doctor Web, кампанията за разпространение на Android.Phantom е особено засегната Устройства XiaomiТроянският кон е открит в приложения, достъпни в официалния магазин. Магазин Mi, качен от разработчик, идентифициран като Мрежа Шенжен РуйренВ много случаи приложенията първоначално са били публикувани без злонамерен код и Последваща актуализация въведе троянския конТова изгражда доверие сред потребителите, преди инфекцията да бъде изпълнена.

Освен това са открити варианти на Android.Phantom, разпространяващи се чрез модифицирани версии на Spotify обещаващи безплатни премиум функции. Тези модифицирани версии се разпространяват чрез Telegram канали и неофициални страници, класически начин да се привлече вниманието на онези, които искат да заобиколят ограниченията на легитимните приложения.

Експертите силно препоръчват Не изтегляйте модифицирани APK файлове от уебсайтове или Telegram канали със съмнителен произход, поддържайте актуализиран антивирус на телефона и наблюдавайте поведението на устройството. Ако има съмнение за инфекция, препоръчително е да стартирате телефона в безопасен режимРъчно прегледайте списъка с инсталирани приложения, деинсталирайте всички подозрителни програми и ги активирайте Защита от Google Play да се извърши анализ на сигурността.

Triada: Троянският кон, който е предварително инсталиран във фърмуера и контролира всички ваши приложения

Ако Android.Phantom вече звучи обезпокоително, семейството Триада Това отива и една крачка напред. Първоначално открита през 2016 г. от експерти на Kaspersky, Triada бележи повратна точка в Усъвършенстван мобилен зловреден софтуер за AndroidТази заплаха се инжектира в почти всеки процес, изпълняван на устройството, намира се предимно в RAM паметта и е способна да... намесва се в множество приложения едновременно.

С течение на времето Google и производителите засилиха системната сигурност, като дори ограничиха модификациите на системните дялове за потребители с root права. Въпреки това, участниците зад Triada... Те са развили техниката и те започнаха да заразяват фърмуера във веригата за доставки, т.е. преди телефонът да достигне до крайния потребител.

В съвременната версия, идентифицирана като Backdoor.AndroidOS.Triada.zТроянецът идва предварително инсталирани в системните дялове на фалшиви телефони с Android продава се на онлайн пазари. Тъй като е интегриран на толкова ниско ниво, премахването му е почти невъзможно без Преинсталирайте официалния фърмуер или сменете устройството.

Ключова характеристика на този вариант е, че той може атакувайте всяко приложение, работещо на телефонаВсеки път, когато потребител отвори приложение, Triada вмъква копие от себе си и може да бъде активирана при поискване. Тя включва и специализирани модули за Telegram, WhatsApp, Instagram, браузъри, TikTok, Facebook, LINE, Skype и приложения за криптовалута, наред с много други.

Например, в Telegram Той изтегля два модула: единият се свързва ежедневно със сървъра за командване и контрол, за да изпрати телефонния номер на жертвата и пълните данни за удостоверяване (включително жетон за достъп) и друг, който филтрира всички съобщения, комуникира с бот и изтрива известия за нови влизания, така че потребителят да не заподозре нищо.

En InstagramTriada търси активни бисквитки за сесия и ги изпраща на нападателите, което позволява поемете пълен контрол над акаунтаВ браузъри като Chrome, Opera или FirefoxМодулът се свързва с командния сървър чрез TCP и пренасочва легитимни връзки към рекламни сайтове или, ако нападателите решат, към фишинг страници, предназначени да откраднат идентификационни данни.

En WhatsAppТроянският кон има два модула: единият изпраща данни за сесията към сървъра на всеки няколко минути, улеснявайки достъпа до акаунта, и другият, който... Той прехваща функциите за изпращане и получаване на съобщения.По този начин зловредният софтуер може да изпраща съобщения от името на жертвата и да ги изтрива мигновено, което затруднява откриването на злонамерената дейност.

В приложения като LINE o SkypeПоведението е подобно: събиране на токени, бисквитки и вътрешни данни, което позволява на престъпниците представям се за потребителя от други устройства. В TikTokTriada извлича информация от „бисквитките“ и данните, необходими за взаимодействие с API на платформата.

Но това не е всичко: Триадата включва a SMS модул способен да чете всички входящи съобщения, да извлича кодове (напр. кодове за банкова проверка), автоматично да отговаря на определени SMS съобщения, за да абонира жертвата за платени услуги и изпращане на произволни съобщения когато сървърът го нареди. Друг допълнителен модул деактивира вградените защити на Android срещу изпращане на първокласни SMS съобщения без съгласие.

Той също така включва a модул за повикванияинтегрирано в телефонното приложение, което вече частично реализира функциите на подправяне на номераВъпреки че изглежда все още е в процес на разработка, целта му е да позволи на изходящите повиквания да показват различен номер от реалния, което улеснява нови измами.

Друг много опасен компонент е обратен прокси Това превръща телефона в междинен сървър, предоставяйки на нападателите достъп до произволни IP адреси, „сякаш“ те произхождат от устройството на жертвата. Това им позволява да скрият истинския източник на различни незаконни онлайн дейности.

За потребителите на криптовалути, Triada включва клипер който следи клипборда и автоматично замества копираните адреси на портфейлите с адреси, контролирани от нападателите. Освен това, a крадец на криптовалута Той анализира активността на жертвата и замества адреси навсякъде в интерфейса, дори променя бутони или изображения с QR кодове, за да пренасочва средства. Смята се, че с тези техники престъпниците са успели да откраднат стотици хиляди долари в крипто активи.

Разследванията показват, че на засегнатите устройства името на фърмуера се различава от официалното. само една букваНапример, когато легитимният фърмуер е TGPMIXM, заразеният фалшив се появява като TGPMIXN. Всичко сочи към ангажирани в някакъв етап от веригата за доставкис магазини, които продават привидно нови телефони, без да знаят, че са били манипулирани от фабриката.

Най-добрата защита срещу Триада включва Купувайте телефони само от официални дистрибутори.Проверете фърмуера и инсталирайте надеждно решение за сигурност на Android. Ако бъде открита Triada, препоръчителният начин на действие е инсталирайте официалния фърмуер или се свържете с техническа служба, прегледайте всички съобщения и акаунти в социалните медии, затворете всички подозрителни активни сесии и промяна на пароли с помощта на защитен мениджър на пароли. Като част от тази защита е препоръчително Инсталирайте надеждно решение за сигурност за Android и да следват добрите практики.

RatOn, BRATA и други банкови троянци, които се представят за услуги

Наред с Android.Phantom и Triada, други семейства на банкови троянци за Android особено фокусирани върху кражба на пари и отвличане на финансови сметки. Три имена, които си струва да се имат предвид, са: Ратон, Брата и Жокеркакто и различни варианти на зловреден софтуер, които се маскират като приложения от услуги, банки или добре познати платформи.

Мишка Това е сравнително нов троянски кон, проектиран от нулата за банкова измамаЗапочна като инструмент за NFC реле атаки (използвайки техники като Ghost Tap), но се превърна в... троянски кон за отдалечен достъп (RAT) с възможности за автоматизирана система за трансфер (ATS). Това означава, че може Извършвайте пълни банкови преводи автоматичнобез потребителят да докосва екрана.

Този зловреден софтуер комбинира атаки на суперпозиция (фалшиви екрани, които се припокриват с легитимни приложения), автоматизирани движения на интерфейса, NFC препредаване и злоупотреба с достъпност за контрол на телефона. Проектиран е за кражба на акаунти от приложения за криптовалути като MetaMask, Trust Wallet, Blockchain.com или Phantomи може да автоматизира парични преводи чрез банкови приложения като Джордж Ческо, широко използван в Чехия.

RatOn се разпространява чрез Фалшиви страници, които имитират Google Play Storeкъдето се предлага предполагаема версия „TikTok 18+“ или подобна. След като потребителят инсталира приложението „dropper“, то изисква разрешения за инсталиране на приложения от неизвестни източници и след това изтегля втори и трети етап от зловредния софтуер, включително вариант на NFSkate (известен също като NGate), базиран на легитимния инструмент NFCGate.

Троянският кон иска разрешение от Администратор на устройството, достъпност, четене и писане на контакти и контрол на системните настройкиТова ви позволява да предоставяте нови разрешения, да изтегляте допълнителни компоненти, да записвате екрана, да стартирате и контролирате банкови и криптовалутни приложения и дори показват фалшиви бележки за откуп които блокират устройството и обвиняват потребителя в сериозни престъпления, за да го принудят да отвори приложение за криптовалута и да извърши плащане.

Сред командите, които RatOn обработва, са команди за изпращане на фалшиви push известия (send_push), промяна на времето за заключване на екрана (screen_lock), отваряне на WhatsApp или Facebook, промяна на списъка с целеви финансови приложения (app_inject), изпращане на SMS чрез достъпност (send_sms), Изтеглете и стартирайте NFSkate (nfs), иницииране на ATS трансфери (transfer), заключване на устройството (lock), създаване на контакти (add_contact) и стартиране или спиране на сесии за запис на екрана (запис, екран).

От своя страна, БРАТА Това е банков троянски кон за Android, открит през 2019 г., който с течение на времето е придобил много агресивни възможности. Разпространява се чрез... капкомер което помага за избягване на антивирусен софтуер и е проявило постоянен интерес към банки и финансови институции от различни страни.

Най-новите варианти на BRATA включват a „изключвател“ Това принуждава устройството да извърши фабрично нулиране в две ситуации: след успешно завършване на банкова измама и когато открие, че работи в среда за анализ или емулатор. Това губи времето на потребителя в опити да разбере какво се е случило, докато нападателите консолидират кражбата.

Освен това BRATA изисква разрешителни от GPS геолокацияОчевидно това е подготовка за бъдещи функции, като например насочване към жертви в конкретни държави или експериментиране със специфични методи на плащане (напр. теглене на пари в брой без карта). Успоредно с това, компанията е усъвършенствала техниките си за... обфускация и динамично изтегляне на злонамереното му ядро за да се избегне откриването от решения за сигурност.

Друго известно име е шегаджия, зловреден софтуер, който действа като шпионски софтуер и тих абонат за премиум услугиJoker се фокусира върху събирането на SMS съобщения, списъци с контакти и информация за устройства, като същевременно регистрира мобилния телефон в SMS услуги за плащане без съгласието на собственика, което води до неочаквани такси в сметката.

Жокерът се превърна в един от най-често срещаният мобилен зловреден софтуерособено защото се разпространява чрез злонамерени приложения, хоствани в Google PlayСъобщения, здраве, приложения за превод и много други категории. Въпреки че Google премахва тези приложения, след като бъдат открити, те често вече са успели да получат достъп. хиляди изтеглянияИ авторите публикуват отново нови приложения със същия зловреден код.

В допълнение към тези специфични семейства, различни проучвания са идентифицирали Банкови троянци, които се маскират като легитимни услуги (помощни инструменти, приложения за продуктивност, предполагаеми официални банкови приложения и др.). След като бъдат изпълнени, тези троянски коне проверяват дали устройството е оригинално и изискват разрешения за достъпност и администриране и оттам те поемат пълен контрол, за да четат екрана, да натискат бутони, да попълват формуляри, Генериране на фалшиви екрани за вход в банкови или криптовалутни приложения и изпраща цялата информация до отдалечен сървър.

Тогава нападателите могат Актуализирайте зловредния софтуер, изтрийте следите му и заглушете известията и звуците. така че потребителят да не вижда предупреждения за сигурност от банката си или Google, и да разпространи инфекцията в нови региони, започвайки с области като Югоизточна Азия, но с потенциал за разширяване в световен мащабЗа примери за други заплахи, които действат по подобен начин, има анализи на специфични семейства, като например Автоматично оцветяване.

Други видове зловреден софтуер в Android и как той попада в телефона ви

Въпреки че банковите троянци са в много заглавия, Android също страда от други видове зловреден софтуер. зловреден софтуер, който често пристига, прикрит като услуги или помощни програмиСред най-често срещаните са рекламен софтуер, шпионски софтуер, рансъмуер и злонамерен криптодобив.

El адуер Това е нежелан софтуер, който залива телефона ви с реклами, обикновено използвайки подвеждащи тактики, за да се инсталира заедно с други приложения или като се преструва на легитимен инструмент. Освен че е досаден, той може пренасочване на трафик към опасни уебсайтове и консумират данни и батерия.

El шпионски софтуер Фокусира се върху дискретно шпиониране на потребителската активност: какви приложения използват, с кого говорят, какво пишат, какви сайтове посещават. Цялата тази информация се изпраща на нападателите, които могат да я използват, за да... кражба на самоличност, изнудване или продажба на черни пазари.

El ransomware В Android този тип атака обикновено включва блокиране на достъпа до устройството или криптиране на файлове, след което се изисква плащане в криптовалута в замяна на възстановяване на контрола на потребителя. Тъй като мобилните телефони съдържат лични снимки, частни разговори и често служебни данни, този тип атака може да бъде особено травматична и без резервни копия, Трудно е да се възстанови информацията.

La злонамерено криптодобив Криптоджакингът включва инсталиране на софтуер, който използва процесора на мобилния телефон, за да добива криптовалути за нападателите. Най-лошото е, че това често остава незабелязано: в хардуера на телефона се виждат само най-очевидните признаци на атака. Симптомите включват бързо изтощаваща се батерия, прегряване и лоша производителност.Междувременно, нападателят генерира приходи за сметка на ресурсите на устройството.

В повечето случаи инфекциите пристигат през браузър или изтеглени приложенияВ браузъра, нападателите могат да използват уязвимости в уеб технологиите или да показват злонамерени реклами, които изпълняват код, без потребителят да прави нищо друго освен да посети компрометирана страница. В приложенията класическата тактика е... Троянски кон, маскиран като легитимно приложениекоето може да работи както е рекламирано, но „зад кулисите“ краде данни, инсталира други приложения или отваря вратата за още злонамерен софтуер. Ако видите Съобщение, че имате вирус, когато влизате в уебсайт, е типичен признак на тези кампании (как да се действа в отговор на това предупреждение).

Има и други опции: бюджетни телефони с вече заразен фърмуеримейли със злонамерени прикачени файлове, фишинг кампании, които подтикват потребителите да изтеглят фалшиви „пачове“ или „актуализации“, и измами за техническа поддръжка, които изискват от потребителите да инсталират инструменти за „помощ“, които всъщност са троянски коне.

Признаци, че вашето Android устройство може да е заразено с троянски кон или зловреден софтуер

Най-опасното нещо за много от тези троянски коне е, че са предназначени да да остане незабелязано възможно най-дългоВъпреки това, има няколко признака, които могат да показват, че нещо странно се случва с мобилния ви телефон и че си струва да се разследва.

Една от най-типичните улики е постоянна поява на изскачащи прозорци и рекламиДори когато не разглеждате или използвате приложения, които никога преди не са показвали реклами, ако докосването на тези реклами ви отвежда до странни или съмнителни уебсайтове, е много вероятно да е инсталиран рекламен софтуер или друг злонамерен компонент.

Друг знак е внезапно и необяснимо увеличение на потреблението на мобилни данниМного троянски коне трябва да предават информация към сървърите си (данни за сесии, кейлогъри, снимки на екрана и др.) или да показват реклами, което увеличава изходящия трафик. Ако сметката ви за данни се увеличи без причина, е възможно нещо да работи във фонов режим без ваше разрешение.

Трябва също да сте подозрителни, ако започнете да виждате необичайни такси по сметката на превозвачаособено тези, свързани с платени SMS съобщения или обаждания към номера с платена тарифа. Това обикновено показва, че злонамерен софтуер е успял незабелязано да изпраща съобщения или да осъществява обаждания към платени услуги, за да генерира приходи за нападателите.

El ускорено износване на батерията Прегряването е друг класически симптом. Зловредният софтуер често използва интензивно процесора, мрежата и понякога графичния процесор (в случай на криптодобив или запис на екрана), което води до прегряване на телефона и драстично намаляване на живота на батерията. Ако телефонът се прегрява дори когато е в режим на покой, си струва да се проучи.

Наличието на приложения, които не помните да сте инсталирали Това също е сериозен индикатор. Някои троянски коне автоматично изтеглят други приложения или се крият зад общи имена „услуга“ или „актуализация“. Ако видите нещо подозрително в списъка с приложения или неидентифицирани икони, най-добре е да го проверите (например, как да намерите приложения или скорошна активност).

И накрая, обърнете внимание на поведения като например използването на мобилен телефон. Включете само Wi-Fi или мобилни данниАко вашите контакти ви казват, че получават странни съобщения от вашия номер или ако забележите екстремни забавяния без видима причина, това са признаци, че някое приложение може да причинява проблеми. контролиране на устройството зад гърба ви.

Как да защитите вашия Android от троянски коне, които се маскират като услуги

Добрата новина е, че с няколко добри навици за безопасност С помощта на надеждно приложение за защита можете значително да намалите риска от заразяване с троянски коне и друг зловреден софтуер на Android. Няма нужда да ставате параноични, но трябва да проявите критично мислене и да избягвате да кликвате върху всичко, което се движи.

Преди всичко, това е ключово Инсталирайте приложения само от надеждни източницикато например Google Play Store или, където е приложимо, официалните магазини за приложения на производителя. Въпреки това трябва да бъдете внимателни, защото понякога злонамерени приложения се промъкват, но рискът е много по-малък, отколкото при изтегляне на APK файлове от неизвестни уебсайтове, форуми, Telegram канали или връзки в SMS съобщения и социални медии.

Преди да инсталирате приложение, препоръчително е прегледайте внимателно разрешенията сиАко приложение за калкулатор поиска достъп до контакти, SMS съобщения, обаждания или услуги за достъпност, това е червен флаг. Същото важи и за приложение за фенерче, което иска да поеме администраторските права на устройството. Винаги се питайте: „Наистина ли се нуждае от това разрешение, за да функционира?“ Ако отговорът е „не“, най-добре е да потърсите алтернатива.

Друг основен стълб е поддържането Android и актуализирани приложенияАктуализациите поправят уязвимости, които много троянски коне използват, за да ескалират привилегии или да заобикалят ограниченията. Да оставите системата си остаряла е като затвори вратата, но остави прозореца отворен за нападателите.

Препоръчително е също да имате такъв приложение за сигурност или антивирус за Android от надежден доставчик. Тези инструменти откриват и премахват много известни заплахи, ви предупреждават за подозрително поведение, сканират връзки в браузъра за фишинг и ви позволяват да изпълнявате сканирания при поискване, когато подозирате, че нещо не е наред.

Освен това, някои основни насоки помагат за обезопасяването на устройството: Не отваряйте прикачени файлове от непознати имейлиИзбягвайте да кликвате върху странни връзки, дори ако изглеждат сякаш идват от приятели, бъдете внимателни с обаждания, изискващи банкови данни или пароли, и не инсталирайте „актуализации“ или „оптимизатори“, които пристигат чрез неочаквани съобщения.

Ако в даден момент подозирате, че вашето Android устройство може да е заразено, най-доброто нещо, което можете да направите, е Инсталирайте антивирусно решение и извършете пълно сканиранеВ допълнение към рестартирането в безопасен режим, можете да деинсталирате подозрителни приложения, без те да се активират. В сериозни случаи (например, ransomware или много упорити троянски коне), може да се наложи да... устройство за фабрично нулиранеЕто защо е от съществено значение да имате редовни резервни копия на снимки, чатове и документи.

Пейзажът от Android троянски коне, маскирани като легитимни услуги, става все по-сложен и усъвършенстван, като семейства като Android.Phantom, Triada, RatOn, BRATA и Joker експлоатират всичко - от модифицирани игри и пиратски версии на популярни приложения до компрометиран фърмуер и фалшиви банкови услуги. Разбирането на това как работят, какви симптоми причиняват и какви навици за сигурност да прилагате ежедневно е най-добрият начин да се защитите. Продължете да използвате мобилния си телефон спокойно, без да се превръщате в следващата жертва.