Κακόβουλο λογισμικό για Android FvncBot, SeedSnatcher και ClayRat: πώς επιτίθενται στο κινητό σας

Android

Αν χρησιμοποιείτε καθημερινά τηλέφωνο Android για online τραπεζικές συναλλαγές, μέσα κοινωνικής δικτύωσης ή κρυπτονομίσματα , θα πρέπει να λάβετε πολύ σοβαρά υπόψη όσα θα διαβάσετε. Τους τελευταίους μήνες, έχουν εμφανιστεί αρκετές εξαιρετικά προηγμένες οικογένειες κακόβουλου λογισμικού – FvncBot, SeedSnatcher και μια βελτιωμένη έκδοση του ClayRat – οι οποίες ανεβάζουν τις επιθέσεις σε κινητές συσκευές σε άλλο επίπεδο συνδυάζοντας την κοινωνική μηχανική, τον απομακρυσμένο έλεγχο συσκευών και την μαζική κλοπή ευαίσθητων δεδομένων.

⚠️ Το ψηφιακό σας δακτυλικό αποτύπωμα (διεύθυνση IP) είναι εκτεθειμένο!

Η διεύθυνση IP σας είναι: ανίχνευση…

Κάντε streaming/λήψη ανώνυμα με το Private Internet Access.

🌐 Μόνο 1,99€ / μήνα + 2 μήνες δώρο
Δεν αποθηκεύουμε τη διεύθυνση IP σας. Η ανίχνευση γίνεται τοπικά στον browser σας.
Συνδεθείτε στην ομάδα του Tech στο Viber

Οι πληροφορίες που περιέχονται στο techvortex.eu προορίζονται μόνο για γενικούς σκοπους πληροφόρησης.

Μακριά από τους ιούς που απλώς σας βομβάρδιζαν με ενοχλητικές διαφημίσεις, αυτοί οι Trojans είναι ικανοί να πάρουν σχεδόν τον πλήρη έλεγχο του τηλεφώνου σας, αδειάζοντας πορτοφόλια κρυπτονομισμάτων, κλέβοντας τραπεζικά διαπιστευτήρια και κατασκοπεύοντας το θύμα με μια πολυπλοκότητα συγκρίσιμη (ή ακόμα και ξεπερνώντας) πολλές επιθέσεις σε υπολογιστές. Θα ρίξουμε μια σαφή, αλλά λεπτομερή, ματιά στο πώς λειτουργούν, ποιες τεχνικές μοιράζονται και τι μπορείτε να κάνετε για να αποτρέψετε το τηλέφωνό σας από το να γίνει εργαλείο των εισβολέων.

Ένα ολοένα και πιο επιθετικό τοπίο απειλών για κινητά

Το οικοσύστημα Android είναι γιγαντιαίο, με δισεκατομμύρια συσκευές που διαχειρίζονται πληρωμές, έλεγχο ταυτότητας 2FA, ιδιωτικές επικοινωνίες και πρόσβαση σε εταιρικά συστήματα . Αυτή η πανταχού παρουσία έχει καταστήσει το Android πρωταρχικό στόχο για εγκληματικές συμμορίες, οικονομικούς απατεώνες και ομάδες APT με πιθανή κρατική υποστήριξη.

Εργαστήρια ασφαλείας όπως τα Intel 471, CYFIRMA και Zimperium έχουν καταγράψει μια επιταχυνόμενη εξέλιξη του κακόβουλου λογισμικού για Android , το οποίο δεν στοχεύει πλέον μόνο οικιακούς χρήστες. Όλο και περισσότερο, οι καμπάνιες επικεντρώνονται σε υπαλλήλους εταιρειών, χρήστες με προνομιακή πρόσβαση ή σε άτομα που διαχειρίζονται μεγάλα χρηματικά ποσά σε τραπεζικές συναλλαγές και κρυπτονομίσματα.

Σε αυτό το πλαίσιο, τρεις συγκεκριμένες οικογένειες έχουν αποκτήσει εξέχουσα θέση: FvncBot, SeedSnatcher και ClayRat . Κάθε μία ειδικεύεται σε έναν συγκεκριμένο τομέα (παραδοσιακές τραπεζικές συναλλαγές, κρυπτονομίσματα ή επίμονη κατασκοπεία), αλλά μοιράζονται μια κοινή προσέγγιση: να παραμένουν απαρατήρητες, να κάνουν κατάχρηση νόμιμων λειτουργιών Android – ειδικά της προσβασιμότητας και των επικαλύψεων οθόνης – και να αποσπούν όσο το δυνατόν περισσότερες πληροφορίες διατηρώντας παράλληλα τον έλεγχο της συσκευής .

Οι εισβολείς έχουν τελειοποιήσει τη χρήση θολωμένων εφαρμογών dropper, υπηρεσιών κρυπτογράφησης όπως το apk0day, καναλιών ανταλλαγής μηνυμάτων όπως το Telegram και εξαιρετικά επεξεργασμένων τομέων ηλεκτρονικού “ψαρέματος” (phishing) που μιμούνται τέλεια δημοφιλείς ιστότοπους και εφαρμογές (YouTube, WhatsApp, εφαρμογές ταξί, κρυπτονομίσματα κ.λπ.). Για τον μέσο χρήστη, η διάκριση μιας νόμιμης εφαρμογής από μια παραποιημένη γίνεται ολοένα και πιο δύσκολη.

Κακόβουλο λογισμικό για Android FvncBot, SeedSnatcher και ClayRat

FvncBot: τραπεζικό trojan με τηλεχειριστήριο τύπου VNC

Το FvncBot είναι ένα τραπεζικό Trojan και RAT για Android που αναπτύχθηκε από την αρχή , χωρίς να ανακυκλώνει κώδικα που διαρρέει από άλλο κακόβουλο λογισμικό όπως το ERMAC. Η κύρια δημόσια καμπάνια του στοχεύει χρήστες mBank mobile banking στην Πολωνία, όπου μεταμφιέζεται σε επίσημη εφαρμογή ασφαλείας που σχετίζεται με την τράπεζα.

Η δόλια εφαρμογή λειτουργεί ως dropper που προστατεύεται από μια υπηρεσία κρυπτογράφησης/απόκρυψης που ονομάζεται apk0day, η οποία προσφέρεται από την Golden Crypt . Αυτή η υπηρεσία συσκευάζει τον κώδικα με τρόπο που καθιστά πολύ πιο δύσκολη τη στατική ανάλυση και την ανίχνευση υπογραφών. Με το άνοιγμα της εφαρμογής, εμφανίζεται μια ειδοποίηση που ζητά από τον χρήστη να εγκαταστήσει ένα φαινομενικό “στοιχείο του Google Play” που αποσκοπεί στη βελτίωση της σταθερότητας ή της ασφάλειας του συστήματος.

Στην πραγματικότητα, αυτό το στοιχείο είναι το ωφέλιμο φορτίο FvncBot . Το κακόβουλο λογισμικό αξιοποιεί μια προσέγγιση που βασίζεται σε συνεδρίες για να παρακάμψει τους περιορισμούς που επιβάλλουν το Android 13 και οι νεότερες εκδόσεις στη χρήση υπηρεσιών προσβασιμότητας από εφαρμογές που έχουν ληφθεί εκτός του Google Play. Με αυτόν τον τρόπο, ακόμη και σε πρόσφατες εκδόσεις του συστήματος, καταφέρνει να ενεργοποιήσει τα δικαιώματα που χρειάζεται για να βλέπει και να ελέγχει σχεδόν τα πάντα στη συσκευή.

Μόλις αναπτυχθεί, το FvncBot ζητά από τον χρήστη να παραχωρήσει δικαιώματα πρόσβασης στην υπηρεσία . Εάν το θύμα αποδεχτεί, το Trojan αποκτά πολύ υψηλά δικαιώματα: μπορεί να διαβάσει τι εμφανίζεται στην οθόνη, να εντοπίσει ποιες εφαρμογές είναι ανοιχτές, να προσομοιώσει αγγίγματα και χειρονομίες, να εμφανίσει παράθυρα πάνω από άλλες εφαρμογές και να καταγράψει πληκτρολογήσεις σε ευαίσθητες μορφές, όπως συνδέσεις σε τραπεζικές συναλλαγές ή υπηρεσίες πληρωμών.

Κατά την εκτέλεσή του, το κακόβουλο λογισμικό στέλνει συμβάντα καταγραφής σε έναν απομακρυσμένο διακομιστή με τον τομέα naleymilva.it.com . Τα δείγματα που αναλύθηκαν έδειξαν ένα αναγνωριστικό έκδοσης “call_pl”, το οποίο υποδεικνύει την Πολωνία ως χώρα-στόχο, και μια έκδοση που έχει ρυθμιστεί ως “1.0-P”, υποδεικνύοντας ότι πρόκειται για μια οικογένεια κακόβουλων προγραμμάτων που βρίσκεται ακόμη σε πρώιμο στάδιο ανάπτυξης και, ως εκ τούτου, έχει περιθώριο για προσθήκη περαιτέρω δυνατοτήτων.

Μετά την καταχώριση της συσκευής, το FvncBot συνδέεται στην υποδομή εντολών και ελέγχου του χρησιμοποιώντας HTTP και την υπηρεσία Firebase Cloud Messaging (FCM) . Μέσω αυτών των καναλιών, λαμβάνει εντολές σε πραγματικό χρόνο και μπορεί να τροποποιήσει τη συμπεριφορά του εν κινήσει, ενεργοποιώντας ή απενεργοποιώντας λειτουργικές μονάδες ανάλογα με τον τύπο του θύματος ή την συγκεκριμένη καμπάνια.

Μεταξύ των δυνατοτήτων που έχουν καταγραφεί, ξεχωρίζουν οι ακόλουθες:

  • Δυνατότητα εκκίνησης ή διακοπής συνδέσεων WebSocket που επιτρέπουν τον απομακρυσμένο έλεγχο της συσκευής , σύροντας, πατώντας, κυλώντας ή ανοίγοντας εφαρμογές σαν ο εισβολέας να κρατούσε το κινητό στο χέρι του.
  • Απομάκρυνση συμβάντων προσβασιμότητας, λίστα εγκατεστημένων εφαρμογών και πληροφορίες συσκευής (μοντέλο, έκδοση Android, διαμόρφωση bot, κ.λπ.).
  • Λήψη συγκεκριμένων διαμορφώσεων για την ανάπτυξη κακόβουλων επικαλύψεων πλήρους οθόνης σε επιλεγμένες εφαρμογές , συνήθως σε τραπεζικές εφαρμογές ή εφαρμογές πληρωμών.
  • Απόκρυψη αυτών των επικαλύψεων την κατάλληλη στιγμή, έτσι ώστε το θύμα να μην αντιλαμβάνεται σχεδόν καθόλου παράξενη συμπεριφορά.
  • Κατάχρηση υπηρεσιών προσβασιμότητας για την καταγραφή πληκτρολογήσεων και δεδομένων που εισάγονται σε κρίσιμες φόρμες .
  • Χρησιμοποιώντας το MediaProjection API για ροή περιεχομένου οθόνης σε πραγματικό χρόνο , επιτρέποντας στους εισβολείς να βλέπουν ακριβώς τι κάνει ο χρήστης, ακόμη και σε εφαρμογές που μπλοκάρουν τα στιγμιότυπα οθόνης με τη σημαία FLAG_SECURE.

Επιπλέον, το FvncBot διαθέτει μια «λειτουργία κειμένου» που του επιτρέπει να αναλύει το σχεδιασμό και το ορατό περιεχόμενο της διεπαφής, ακόμη και όταν οι συμβατικές καταγραφές δεν είναι δυνατές . Αυτό του επιτρέπει να ελέγχει πεδία εισαγωγής, κουμπιά και μηνύματα ασφαλείας σε εφαρμογές υψηλής προστασίας.

Προς το παρόν, δεν υπάρχει δημόσια επιβεβαίωση σχετικά με την κύρια μέθοδο διανομής του, αλλά, λόγω της ομοιότητας με άλλες οικογένειες τραπεζικών trojan, είναι πολύ πιθανό να βασίζεται σε καμπάνιες smishing (phishing SMS), συνδέσμους που αποστέλλονται μέσω άμεσων μηνυμάτων και καταστήματα εφαρμογών τρίτων όπου ανεβαίνουν κακόβουλα κλώνοι γνωστών εφαρμογών ή ψεύτικα εργαλεία ασφαλείας.

Παρόλο που η τρέχουσα διαμόρφωση απευθύνεται σε Πολωνούς χρήστες mBank , ο αρθρωτός σχεδιασμός του FvncBot διευκολύνει τους εισβολείς να προσαρμόσουν τη γλώσσα, τα λογότυπα, τα πρότυπα επικάλυψης, ακόμη και να στοχεύσουν τράπεζες χωρίς κόπο. Δεν θα ήταν έκπληξη να το δούμε να μεταλλάσσεται σε εκστρατείες σε άλλες χώρες ή εναντίον διαφορετικών τραπεζών σε σύντομο χρονικό διάστημα.

SeedSnatcher: φράση seed και κλέφτης κώδικα 2FA

Ενώ το FvncBot επικεντρώνεται στις παραδοσιακές τραπεζικές συναλλαγές, το SeedSnatcher στοχεύει άμεσα στο οικοσύστημα κρυπτονομισμάτων . Είναι ένα infostealer για Android που έχει σχεδιαστεί για να κλέβει φράσεις εκκίνησης πορτοφολιών, ιδιωτικά κλειδιά και οποιεσδήποτε άλλες πληροφορίες που θα του επέτρεπαν να αναλάβει τον έλεγχο των πορτοφολιών κρυπτονομισμάτων, καθώς και άλλων ευαίσθητων δεδομένων από τη συσκευή.

Το SeedSnatcher διανέμεται κυρίως μέσω του Telegram και άλλων καναλιών κοινωνικής δικτύωσης, μεταμφιεσμένο ως «Coin» ή άλλα ονόματα που υποδηλώνουν επενδυτικά εργαλεία, εφαρμογές διαχείρισης κρυπτονομισμάτων ή πρόσβαση σε αποκλειστικές προσφορές. Οι επιτιθέμενοι διαδίδουν συνδέσμους προς υποτιθέμενα νόμιμα APK σε δημόσιες και ιδιωτικές ομάδες που σχετίζονται με συναλλαγές, NFT ή νέα blockchain.

Η κακόβουλη εφαρμογή έχει σχεδιαστεί για να αποφεύγει την πρόκληση υποψιών εξαρχής: συνήθως ζητά πολύ λίγα δικαιώματα κατά την εγκατάσταση, ειδικά πρόσβαση σε SMS ή σε φαινομενικά ακίνδυνες επιλογές . Αυτή η προσέγγιση τη βοηθά να παρακάμπτει λύσεις ασφαλείας που ειδοποιούν τους χρήστες για μαζικά αιτήματα δικαιωμάτων από την πρώτη κιόλας εκκίνηση.

Ωστόσο, στο παρασκήνιο, το SeedSnatcher αρχίζει να αναπτύσσει το οπλοστάσιό του. Οι προγραμματιστές του έχουν ενσωματώσει τεχνικές όπως η δυναμική φόρτωση κλάσεων και η κρυφή εισαγωγή περιεχομένου στο WebView , επιτρέποντας στην εφαρμογή να κατεβάζει πρόσθετες ενότητες από τον διακομιστή εντολών και ελέγχου, να τροποποιείται αυτόματα και να ενεργοποιεί λειτουργίες μόνο όταν ανιχνεύει ότι το θύμα ανοίγει συγκεκριμένες εφαρμογές που σχετίζονται με κρυπτονομίσματα.

Μία από τις πιο επικίνδυνες δυνατότητές του είναι η δημιουργία εξαιρετικά πειστικών επικαλύψεων ηλεκτρονικού “ψαρέματος” (phishing) που μιμούνται την εμφάνιση γνωστών κρυπτονομισμάτων, ανταλλακτηρίων ή οθονών ανάκτησης λογαριασμού. Ο χρήστης πιστεύει ότι επαναφέρει το πορτοφόλι του ή επικυρώνει την ταυτότητά του, αλλά στην πραγματικότητα, παραδίδει τη φράση εκκίνησης ή το ιδιωτικό κλειδί του στους εισβολείς.

Εκτός από τα seeds ανάκτησης, το SeedSnatcher μπορεί να αναχαιτίσει τα εισερχόμενα μηνύματα SMS για να καταγράψει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) , διευκολύνοντας την παραβίαση λογαριασμών σε υπηρεσίες ανταλλαγής, πλατφόρμες συναλλαγών ή ακόμα και σε άλλες υπηρεσίες που εξακολουθούν να χρησιμοποιούν SMS ως δεύτερο παράγοντα.

Το κακόβουλο λογισμικό έχει επίσης σχεδιαστεί για να αποσπά εκτεταμένες πληροφορίες από τη συσκευή: επαφές, αρχεία καταγραφής κλήσεων, τοπικά αρχεία και άλλα δεδομένα ενδιαφέροντος που μπορούν να επαναχρησιμοποιηθούν σε μελλοντικές απάτες, εκβιασμούς ή εκστρατείες πωλήσεων σε υπόγεια φόρουμ.

Οι έρευνες που αποδίδονται στην CYFIRMA δείχνουν ότι οι χειριστές του SeedSnatcher θα ήταν ομάδες με έδρα την Κίνα ή κινέζικα ομιλούντες , με βάση οδηγίες και τεκμηρίωση σε αυτή τη γλώσσα που υπάρχουν τόσο στον πίνακα ελέγχου του κλέφτη όσο και σε μηνύματα που κοινοποιούνται μέσω του Telegram.

Το μοτίβο κλιμάκωσης δικαιωμάτων του SeedSnatcher είναι ιδιαίτερα υπολογισμένο: ξεκινά με ελάχιστα δικαιώματα για να παραμείνει απαρατήρητο και αργότερα ζητά εξουσιοδότηση για πρόσβαση στον διαχειριστή αρχείων, εμφάνιση επικαλύψεων, ανάγνωση επαφών, προβολή αρχείων καταγραφής κλήσεων και πρόσβαση σε άλλους κρίσιμους πόρους. Κάθε αίτημα μεταμφιέζεται σε μια νόμιμη λειτουργία, μειώνοντας την πιθανότητα υποψίας από τον χρήστη.

Ο συνδυασμός οπτικής παραπλάνησης, κλοπής SMS, πιθανής παρακολούθησης προχείρου και σιωπηλής κλοπής δεδομένων καθιστά το SeedSnatcher μια κρίσιμη απειλή για όποιον διαχειρίζεται κρυπτονομίσματα από την κινητή συσκευή του , ειδικά πορτοφόλια που δεν βασίζονται σε φράσεις seed που, μόλις παραβιαστούν, επιτρέπουν στον εισβολέα να αποστραγγίσει τα χρήματα χωρίς δυνατότητα ανάκτησης.

ClayRat: αρθρωτό spyware και σχεδόν πλήρης έλεγχος συσκευών

Το ClayRat είναι ένα αρθρωτό λογισμικό κατασκοπείας για Android που έχει εξελιχθεί ραγδαία σε ένα από τα πιο επικίνδυνα εργαλεία παρακολούθησης για κινητά που διατίθενται σήμερα. Αρχικά στοχεύοντας σε συγκεκριμένες αγορές (ειδικά Ρώσους χρήστες), οι πρόσφατες παραλλαγές του επιδεικνύουν ένα σημαντικό άλμα στις δυνατότητες, την ανθεκτικότητα και τη γεωγραφική εμβέλεια.

Η διανομή του βασίζεται σε ένα μείγμα καμπανιών Telegram και προσεκτικά κατασκευασμένων ιστότοπων ηλεκτρονικού “ψαρέματος” (phishing) που μιμούνται γνωστές υπηρεσίες. Αυτοί οι ιστότοποι προωθούν δημοφιλείς εφαρμογές – όπως το WhatsApp, το Google Photos, το TikTok και το YouTube – και εμφανίζουν ψεύτικες κριτικές, θετικές αξιολογήσεις και διογκωμένους αριθμούς λήψεων για να ενισχύσουν την αίσθηση νομιμότητας.

Αυτό που στην πραγματικότητα κατεβάζει ο χρήστης συνήθως δεν είναι το ίδιο το spyware, αλλά ένα ελαφρύ dropper που περιέχει το κακόβουλο λογισμικό κρυμμένο και κρυπτογραφημένο . Αυτό το dropper μπορεί να μεταμφιεστεί σε μια απλή εφαρμογή βίντεο, σε ένα υποτιθέμενα βελτιωμένο πρόγραμμα-πελάτη ή σε ένα χρήσιμο εργαλείο. Μόλις εγκατασταθεί, αποκρυπτογραφεί και απελευθερώνει το κακόβουλο φορτίο, παρακάμπτοντας ορισμένα στοιχεία ελέγχου ασφαλείας του συστήματος.

Έρευνα της Zimperium zLabs και άλλων ομάδων αποκάλυψε ότι το ClayRat καταχράται τις υπηρεσίες προσβασιμότητας και τα προεπιλεγμένα δικαιώματα SMS με δύο τρόπους . Ως η προεπιλεγμένη εφαρμογή SMS, μπορεί να διαβάζει, να γράφει και να στέλνει μηνύματα χωρίς τη γνώση του χρήστη, να υποκλέπτει κωδικούς 2FA, να χειραγωγεί συνομιλίες και να τις χρησιμοποιεί ως φορέα για την εξάπλωση της μόλυνσης.

Οι τελευταίες εκδόσεις ενσωματώνουν ένα ευρύ φάσμα προηγμένων λειτουργιών:

  • Καταγραφείς πληκτρολογίων, στιγμιότυπα οθόνης και εγγραφή πλήρους οθόνης , που επιτρέπουν την ανακατασκευή σχεδόν όλων όσων κάνει το θύμα.
  • Πρόσβαση σε κλήσεις, ειδοποιήσεις, ιστορικό, φωτογραφίες από την μπροστινή κάμερα και άλλα προσωπικά δεδομένα , με δυνατότητα μεταφόρτωσής τους στον διακομιστή εντολών και ελέγχου.
  • Η δυνατότητα λήψης φωτογραφιών με την μπροστινή κάμερα και η αθόρυβη εξαγωγή τους , κάτι ιδιαίτερα παρεμβατικό όταν η κάμερα στρέφεται απευθείας στο πρόσωπο του θύματος.
  • Ανάπτυξη επικαλύψεων που προσομοιώνουν ενημερώσεις συστήματος, μαύρες οθόνες ή μηνύματα συντήρησης , που χρησιμοποιούνται για την κάλυψη κακόβουλων δραστηριοτήτων ενώ οι εισβολείς χειραγωγούν τη συσκευή στο παρασκήνιο.
  • Δημιουργία ψεύτικων διαδραστικών ειδοποιήσεων που φαίνεται να προέρχονται από το σύστημα ή από νόμιμες εφαρμογές και οι οποίες χρησιμεύουν για τη συλλογή απαντήσεων, κωδικών και παραβιάσεων.

Μια ιδιαίτερα ανησυχητική πτυχή είναι η ικανότητα του ClayRat να ξεκλειδώνει αυτόματα τη συσκευή ακόμα και αν χρησιμοποιείται PIN, κωδικός πρόσβασης ή μοτίβο . Συνδυάζοντας λειτουργίες προσβασιμότητας, αναγνώριση διάταξης οθόνης και αυτοματοποίηση χειρονομιών, το κακόβουλο λογισμικό καταφέρνει να παρακάμψει την οθόνη κλειδώματος και να λειτουργήσει το τηλέφωνο χωρίς καμία παρέμβαση του χρήστη.

Εκτός από την κατασκοπεία, το ClayRat μετατρέπει κάθε μολυσμένη συσκευή σε έναν αυτοματοποιημένο κόμβο διανομής . Μπορεί να στείλει μηνύματα SMS με κακόβουλους συνδέσμους σε επαφές που είναι αποθηκευμένες στο τηλέφωνο, εκμεταλλευόμενο την εμπιστοσύνη που αποδίδεται στα μηνύματα που λαμβάνονται από έναν γνωστό αριθμό. Αυτό διευκολύνει την ταχεία και ευρεία διάδοση χωρίς να απαιτείται από τους εισβολείς να διαθέτουν μεγάλη πρόσθετη υποδομή.

Έχει επιβεβαιωθεί η χρήση τουλάχιστον 25 phishing domains (τομέων ηλεκτρονικού “ψαρέματος”) που μιμούνται νόμιμες υπηρεσίες όπως το YouTube . Αυτοί οι τομείς προσφέρουν μια υποτιθέμενη έκδοση “Pro” με αναπαραγωγή στο παρασκήνιο και υποστήριξη 4K HDR. Έχουν επίσης εντοπιστεί εφαρμογές dropper που παρουσιάζονται ως ρωσικές εφαρμογές ταξί και στάθμευσης , οι οποίες αντιγράφουν ονόματα, εικονίδια και περιγραφές για να παραπλανήσουν τους τοπικούς χρήστες.

Η επέκταση των δυνατοτήτων του ClayRat — από την απλή εξαγωγή δεδομένων έως την πλήρη κατάληψη συσκευών με μόνιμες επικαλύψεις και αυτοματοποιημένο ξεκλείδωμα — καθιστά αυτήν την τελευταία παραλλαγή ακόμη πιο επικίνδυνη από τις προηγούμενες, στις οποίες υπήρχε τουλάχιστον κάποια πιθανότητα το θύμα να εντοπίσει παράξενη δραστηριότητα, να απεγκαταστήσει την εφαρμογή ή να απενεργοποιήσει το τηλέφωνο εγκαίρως.

Κοινές τεχνικές: προσβασιμότητα, επικαλύψεις και προηγμένη αποφυγή

Παρόλο που οι FvncBot, SeedSnatcher και ClayRat επιδιώκουν κάπως διαφορετικούς στόχους, βασίζονται σε ένα σύνολο κοινών τακτικών και τεχνικών που εξηγούν γιατί έχουν τόση επιτυχία σε πραγματικές καμπάνιες.

Καταρχάς, ξεχωρίζει η συστηματική κατάχρηση των υπηρεσιών προσβασιμότητας του Android. Αυτή η λειτουργικότητα σχεδιάστηκε για να βοηθά τους χρήστες με αναπηρίες να αλληλεπιδρούν με τη συσκευή, αλλά όταν χρησιμοποιείται λανθασμένα, δίνει στους εισβολείς τη δυνατότητα να διαβάζουν τι εμφανίζεται στην οθόνη, να ανιχνεύουν αλλαγές στη διεπαφή, να αυτοματοποιούν χειρονομίες και, στην πράξη, να ελέγχουν το τηλέφωνο σχεδόν σαν να ήταν δικό τους.

Ο δεύτερος πυλώνας είναι η χρήση επικαλύψεων που μιμούνται νόμιμες διεπαφές πλήρους οθόνης ή μερικής χρήσης . Τοποθετώντας ένα ψεύτικο επίπεδο πάνω από μια πραγματική εφαρμογή – είτε πρόκειται για τράπεζα, είτε για κρυπτογραφικό πορτοφόλι είτε για μια δημοφιλή υπηρεσία – οι εισβολείς συλλαμβάνουν διαπιστευτήρια, προσωπικά δεδομένα, αριθμούς καρτών ή φράσεις εκκίνησης χωρίς να χρειάζεται να θέσουν σε κίνδυνο την αρχική εφαρμογή. Ο χρήστης πιστεύει ότι αλληλεπιδρά με τη συνηθισμένη εφαρμογή, αλλά στην πραγματικότητα πληκτρολογεί σε μια οθόνη που ελέγχεται από το κακόβουλο λογισμικό.

Τρίτον, αυτές οι οικογένειες καταφεύγουν σε εξελιγμένες τεχνικές αποφυγής : συσκότιση κώδικα και κρυπτογράφηση χρησιμοποιώντας υπηρεσίες όπως το apk0day, δυναμική φόρτωση κλάσεων που λαμβάνονται μόνο όταν χρειάζεται, σιωπηλή εισαγωγή περιεχομένου στο WebView και χρήση εντολών που βασίζονται σε ακέραιους αριθμούς για να κάνουν την κυκλοφορία να φαίνεται λιγότερο προφανής στα συστήματα παρακολούθησης.

Η επικοινωνία με τους διακομιστές εντολών και ελέγχου έχει επίσης γίνει πιο εξελιγμένη. Πολλά από αυτά τα Trojan χρησιμοποιούν το Firebase Cloud Messaging για τη λήψη εντολών, συνδέσεις WebSocket για έλεγχο σε πραγματικό χρόνο και εξαγωγή δεδομένων μέσω HTTP ή HTTPS , αναμειγνύοντας την κακόβουλη κίνηση τους με νόμιμη κίνηση από άλλες εφαρμογές, γεγονός που περιπλέκει την ανίχνευσή τους σε εταιρικά και οικιακά δίκτυα.

Όλα τα παραπάνω συμπληρώνονται από σχολαστικά σχεδιασμένη κοινωνική μηχανική . Οι εισβολείς δημιουργούν εφαρμογές που μιμούνται στοιχεία του Google Play, εργαλεία ασφαλείας, επίσημες τραπεζικές εφαρμογές, εκδόσεις “Pro” γνωστών πλατφορμών ή υπηρεσίες με μεγάλη ζήτηση όπως ταξί, πάρκινγκ και ψηφιακά πορτοφόλια. Στόχος είναι να μειωθεί η επιφυλακή του χρήστη, ώστε να αποδέχεται κρίσιμες εγκαταστάσεις και δικαιώματα σχεδόν χωρίς να τα διαβάζει.

Πώς μπορεί να μολυνθεί η συσκευή σας Android και ποια είναι τα σημάδια πιθανής παραβίασης;

Παρά την τεχνολογία που διαθέτουν, το σημείο εκκίνησης είναι συνήθως το ίδιο: να πείσουν τον χρήστη να εγκαταστήσει χειροκίνητα ένα APK ή να παραχωρήσει επικίνδυνα δικαιώματα . Για να το κάνουν αυτό, βασίζονται σε μηνύματα τύπου smishing, καμπάνιες κοινωνικών μέσων, φόρουμ, ομάδες Telegram ή ιστότοπους που υπόσχονται ακαταμάχητα οφέλη (δωρεάν εφαρμογές επί πληρωμή, εκδόσεις χωρίς διαφημίσεις, επενδυτικές ευκαιρίες κ.λπ.).

Μόλις το θύμα δελεαστεί από την υπόσχεση, κατεβάζει το APK από μια ανεπίσημη πηγή, πατάει «Εγκατάσταση» και, στη συνέχεια, παραχωρεί δικαιώματα προσβασιμότητας, πρόσβαση σε SMS, επικαλύψεις και τον προεπιλεγμένο ρόλο εφαρμογής για ορισμένες υπηρεσίες (όπως η ανταλλαγή μηνυμάτων). Από εκείνο το σημείο και μετά, μεγάλο μέρος του ελέγχου περνάει στα χέρια του κακόβουλου λογισμικού, το οποίο θα προσπαθήσει να λειτουργήσει σιωπηλά για να αποφύγει την πρόκληση υποψιών.

Παρόλα αυτά, υπάρχουν ορισμένοι δείκτες παραβίασης που θα πρέπει να παρακολουθούνται :

  • Μη φυσιολογική κατανάλωση μπαταρίας και υπερθέρμανση του κινητού τηλεφώνου χωρίς εμφανή έντονη χρήση.
  • Σημαντική αύξηση στην κίνηση δεδομένων κινητής τηλεφωνίας ή Wi-Fi χωρίς σαφή εξήγηση.
  • Εμφάνιση εφαρμογών που δεν θυμάστε να έχετε εγκαταστήσει ή αλλαγές στις προεπιλεγμένες εφαρμογές SMS, τραπεζικών συναλλαγών ή ανταλλαγής μηνυμάτων.
  • Μη αναμενόμενες διακοπές λειτουργίας, σφάλματα ή παράξενη συμπεριφορά σε βασικές εφαρμογές, όπως τραπεζικές συναλλαγές, πορτοφόλια, μέσα κοινωνικής δικτύωσης ή ανταλλαγή μηνυμάτων.
  • Ασυνήθιστα παράθυρα διαλόγου δικαιωμάτων, ειδικά αυτά που σχετίζονται με την προσβασιμότητα, τα SMS ή τη διαχείριση συσκευών.
  • Ειδοποιήσεις για ύποπτες συνδέσεις ή ασυνήθιστες αλλαγές τοποθεσίας στους λογαριασμούς σας στο cloud, στις υπηρεσίες κρυπτογράφησης ή στις ηλεκτρονικές τραπεζικές συναλλαγές.

Εάν εντοπίσετε πολλά από αυτά τα συμπτώματα, είναι συνετό να εκτελέσετε μια πλήρη σάρωση με μια αξιόπιστη λύση ασφάλειας για κινητά , να ελέγξετε χειροκίνητα τη λίστα των εγκατεστημένων εφαρμογών (συμπεριλαμβανομένων εκείνων με γενικά εικονίδια ή παράξενα ονόματα) και, εάν η κατάσταση είναι σοβαρή, να εξετάσετε το ενδεχόμενο επαναφοράς εργοστασιακών ρυθμίσεων αφού δημιουργήσετε αντίγραφα ασφαλείας μόνο των απαραίτητων.

Βέλτιστες πρακτικές για την προστασία του κινητού σας τηλεφώνου από FvncBot, SeedSnatcher και ClayRat

Η καλύτερη άμυνα ενάντια σε αυτές τις απειλές συνδυάζει την τεχνολογία και την κοινή λογική. Σε επίπεδο χρήστη, υπάρχουν ορισμένες βασικές οδηγίες ψηφιακής υγιεινής που μειώνουν δραστικά τις πιθανότητες μόλυνσης από FvncBot, SeedSnatcher, ClayRat ή παρόμοιο κακόβουλο λογισμικό.

Ο χρυσός κανόνας είναι σαφής: εγκαταστήστε εφαρμογές μόνο από το Google Play ή από επίσημους ιστότοπους παρόχων . Η λήψη APK από συνδέσμους που λαμβάνονται μέσω SMS, email, μέσων κοινωνικής δικτύωσης, καναλιών Telegram ή “θαυματουργών” ιστότοπων λήψης είναι, στις μέρες μας, ένα από τα κύρια σημεία εισόδου για κακόβουλο λογισμικό για κινητά.

Είναι επίσης σημαντικό να αφιερώσετε λίγα δευτερόλεπτα για να ελέγξετε τα δικαιώματα που ζητά κάθε εφαρμογή πριν τα αποδεχτείτε . Εάν μια εφαρμογή που υποτίθεται ότι σας επιτρέπει να παρακολουθείτε βίντεο, να ακούτε μουσική ή να ελέγχετε τον καιρό ζητά πλήρη πρόσβαση σε μηνύματα SMS, υπηρεσίες προσβασιμότητας, επαφές ή διαχείριση συσκευών, να είστε καχύποπτοι. Πολλές επιθέσεις βασίζονται στο ότι οι χρήστες πατούν “Αποδοχή” χωρίς να διαβάζουν τίποτα απολύτως.

Ένα άλλο κρίσιμο επίπεδο είναι η διατήρηση της ενημέρωσης του Android, των εφαρμογών και των λύσεων ασφαλείας . Οι κατασκευαστές και η Google συχνά εκδίδουν ενημερώσεις κώδικα για να κλείσουν τρωτά σημεία που προσπαθούν να εκμεταλλευτούν αυτά τα Trojans. Η ενεργοποίηση των αυτόματων ενημερώσεων και ο περιοδικός έλεγχός τους αποτελεί μια ελάχιστη επένδυση χρόνου με τεράστια απόδοση της επένδυσης στην ασφάλεια.

Όσον αφορά τους λογαριασμούς και τα διαπιστευτήρια, συνιστάται να χρησιμοποιείτε ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε υπηρεσία , να αποθηκεύετε αυτούς τους κωδικούς πρόσβασης σε έναν αξιόπιστο διαχειριστή κωδικών πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο βημάτων όποτε είναι δυνατόν. Ωστόσο, είναι προτιμότερο να επιλέγετε μεθόδους 2FA που βασίζονται σε εφαρμογές ελέγχου ταυτότητας ή φυσικά κλειδιά αντί για SMS, ακριβώς επειδή πολλά προγράμματα κακόβουλου λογισμικού για κινητά ειδικεύονται στην υποκλοπή μηνυμάτων.

Για όσους διαχειρίζονται σημαντικά ποσά κρυπτονομισμάτων, είναι συνετό να αποφεύγουν τη δημιουργία ή την αποθήκευση φράσεων seed και ιδιωτικών κλειδιών σε μια συσκευή Android γενικής χρήσης . Η χρήση πορτοφολιών υλικού ή ειδικών συσκευών ελαχιστοποιεί τον αντίκτυπο ενός infostealer όπως το SeedSnatcher στο κύριο κινητό σας τηλέφωνο.

Σε εταιρικά περιβάλλοντα, οι οργανισμοί θα πρέπει να βασίζονται σε λύσεις διαχείρισης κινητών συσκευών (MDM) για να ελέγχουν ποιες εφαρμογές μπορούν να εγκατασταθούν, να επιβάλλουν πολιτικές κρυπτογράφησης, να διαχωρίζουν τους επαγγελματικούς και τους προσωπικούς λογαριασμούς και να παρακολουθούν ενδείξεις παραβίασης. Η συνεχής εκπαίδευση των εργαζομένων σχετικά με το ηλεκτρονικό ψάρεμα (phishing) σε κινητά, τους ύποπτους συνδέσμους και τις οθόνες μη φυσιολογικών δικαιωμάτων είναι εξίσου σημαντική με οποιαδήποτε τεχνική λύση.

Η άνοδος των FvncBot, SeedSnatcher και του νέου ClayRat καταδεικνύει ότι το κύριο μέτωπο του κυβερνοεγκλήματος έχει μετατοπιστεί δραματικά προς τις κινητές συσκευές . Η κατανόηση του τρόπου λειτουργίας τους, των δικαιωμάτων που καταχρώνται και των λόγων που οι καμπάνιες τους είναι τόσο πειστικές μας βοηθά να συνειδητοποιήσουμε ότι το smartphone δεν είναι πλέον ένα σχετικά ασφαλές «παιχνίδι», αλλά μάλλον ο πιο πολύτιμος κρίκος στην ψηφιακή μας ζωή.

Η υιοθέτηση απλών συνηθειών —χρήση μόνο εφαρμογών από αξιόπιστες πηγές, επιφυλακτικότητα ως προς τους συνδέσμους και τα δικαιώματα, ενημέρωση του συστήματός σας και χρήση ενεργής ασφάλειας για κινητά— κάνει τη διαφορά μεταξύ του να συνεχίσετε να χρησιμοποιείτε το τηλέφωνό σας με ηρεμία και του να το βλέπετε να γίνεται εργαλείο στην υπηρεσία των εισβολέων. Κοινοποιήστε αυτές τις πληροφορίες, ώστε περισσότεροι άνθρωποι να γνωρίζουν τους διαφορετικούς τύπους κακόβουλου λογισμικού Android που υπάρχουν.

Σχετικά Άρθρα

Αφήστε ένα Σχόλιο

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Κύλιση στην κορυφή