През последните месеци, a Нова вълна от атаки от DoubleTrouble, сложен троянски кон за банкиране за Android, който е еволюирал тревожно и сега се разпространява, наред с други методи, чрез Discord. Тази заплаха представлява особено висок риск за европейските потребители и финансови институции, съчетавайки усъвършенствани техники за социално инженерство и забележителна способност да избягва откриването на мобилни устройства.
Изследователският екип на Zimperium и zLabs е идентифицирал интензивна кампания, в която DoubleTrouble използва Discord каналите да разпространява злонамерени APK файлове. Анализирани са девет скорошни проби и 25 предишни варианта, което доказва, че злонамереният софтуер се адаптира бързо и постоянно актуализира стратегиите си, за да се разпространява по-ефективно и по-устойчиво на устройствата.
Как работи DoubleTrouble на устройства с Android
DoubleTrouble достига до потребителите под прикритието на легитимно приложение, което симулира иконата на Google Playили представени като привидно безобидни разширения или добавки. Основната им тактика за получаване на контрол е да искат разрешения от потребителите. Услуги за достъпност на AndroidВеднъж одобрена, заплахата може да действа дискретно, извършвайки действия във фонов режим и давайки на нападателите възможността да манипулират устройството почти по желание.
Един от най- Силните страни на Троян Това е твоето метод за инсталиране, базиран на сесия, който крие зловредния полезен товар в директорията resources/raw на заразеното приложение. Това усложнява откриването както от потребителите, така и от традиционните системи за сигурност. Освен това, кодът му използва произволни имена за методи и класове, което прави анализа и обратното инженерство на зловредния софтуер още по-трудни.
Що се отнася до вътрешното си функциониране, DoubleTrouble се откроява със своите комбинация от техники за запис на екрана в реално време, използвайки API-тата MediaProjection и VirtualDisplay на Android, за да създаде виртуално копие на дисплея на потребителя. Тази функция ви позволява да Заснемане на идентификационни данни, пароли за достъп, модели и ПИН кодове, както и всякаква чувствителна информация, показвана на екрана, като например ключове за портфейли с криптовалута, запазени пароли или временни кодове за удостоверяване.
Най-опасните му характеристики включват:
- Фалшиви наслагвания на заключен екран да откраднат кодове за отключване, модели или пароли.
- Разширен кейлогър който записва натисканията на клавиши и промените в прозорците.
- Заключване и отваряне на приложения, особено банкови или приложения за сигурност, за да се възпрепятства законната употреба, докато се извършва кражба на данни.
- Фалшиви известия и сигнали предназначени да подведат жертвата да въведе идентификационни данни в измамни формуляри, насложени върху реални приложения.
Пълно дистанционно управление и възможности за избягване
Наличието на DoubleTrouble се открива и чрез неговото богат набор от дистанционни команди Изпратено от киберпрестъпници. Техните възможности включват симулиране на жестове с докосване (докосвания и плъзгания), сривове на приложения, инжектиране на персонализиран HTML код, промяна на системните настройки и задействане на фалшиви екрани (като „Поддръжка на системата“ или актуализации на Android), за да прикрият дейността си.
Откраднатите данни се пакетират и предават на командни и контролни (C2) сървъри с метаданни, включително информация за размера на екрана, отворените приложения и последните събития. Троянският кон съхранява подробни регистрационни файлове на събраните сърдечни удари във файлове като heart_beat.xml, чакащи да бъдат тайно извлечени.
Експертите по сигурността подчертават, еволюционният характер и трудността на премахването на DoubleTrouble, тъй като комбинира техники за обфускация, постоянно актуализиране и разпространение на популярни платформи като Discord, като по този начин заобикаля конвенционалните мерки за сигурност и достига до повече потенциални жертви.
За да се предпазите, е важно да бъдете внимателни, когато инсталирате приложения извън официални източници, да избягвате предоставянето на ненужни разрешения и да актуализирате операционната система и решенията за сигурност на устройството си. Освен това, легитимни организации никога няма да изискват от вас да изтегляте APK файлове чрез платформи като Discord за банкови цели.
Възходът на DoubleTrouble като банков троянски кон за Android демонстрира как киберпрестъпниците внедряват иновации, за да заобикалят защитите и да експлоатират нови платформи. Постоянната еволюция на тези заплахи изисква постоянна бдителност в кампаниите със зловреден софтуер, като се обърне специално внимание на методите на социалното инженерство и бързото разпространение по канали, където потребителите са по-малко бдителни.
