Hakerzy Android atakują 400 aplikacji bankowych, handlowych i kryptowalutowych na całym świecie, aby opróżniać konta: badacze cyberbezpieczeństwa

Hakerzy obecnie atakują ponad 400 aplikacji finansowych na całym świecie, wdrażając nowy szczep złośliwego oprogramowania na Androida w celu opróżnienia kont.

Złośliwe oprogramowanie, nazwane Albiriox, to wysoce zaawansowany trojan zdalnego dostępu (RAT), zaprojektowany do przejęcia pełnej kontroli nad zainfekowanym urządzeniem, umożliwiając atakującym bezpośredni dostęp i manipulację legalnymi sesjami bankowymi lub kryptowalutowymi użytkownika, według nowej analizy firmy zajmującej się cyberbezpieczeństwem Cleafy.

Cleafy informuje, że Albiriox atakuje szerokie spektrum platform finansowych, w tym tradycyjne banki, aplikacje fintech, procesory płatności, giełdy kryptowalut, portfele mobilne i platformy handlowe. Tak szeroki zasięg wskazuje na celowe dążenie do kompromitacji zarówno głównych użytkowników finansowych, jak i posiadaczy aktywów cyfrowych.

Złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem fałszywych aplikacji podszywających się pod prawdziwe, takich jak fikcyjna aplikacja „Penny Market” z fałszywych stron Google Play, do których użytkownicy trafiają przez linki SMS i muszą nadać uprawnienia do instalacji, zanim wirus zostanie pobrany.

To, co czyni Albiriox szczególnie niebezpiecznym, to jego powiązanie z On-Device Fraud (ODF), szybko rozwijającą się klasą złośliwego oprogramowania mobilnego działającego wewnątrz uwierzytelnionej sesji ofiary. Cleafy informuje, że trojan wykorzystuje kombinację zdalnego sterowania opartego na VNC, nadużycia usług dostępności, ukierunkowanych nakładek ekranowych oraz dynamicznego pozyskiwania danych uwierzytelniających.

Wszystkie te możliwości pozwalają atakującym omijać kontrole biometryczne, uwierzytelnianie dwuskładnikowe oraz inne zabezpieczenia wykrywające oszustwa, zachowując się jak legalny użytkownik.

Po uzyskaniu uprawnień dostępności przez złośliwe oprogramowanie, atakujący mogą nawigować po urządzeniu w czasie rzeczywistym, inicjować przelewy, opróżniać portfele kryptowalutowe lub zatwierdzać transakcje wysokiego ryzyka bez wywoływania typowych alertów bezpieczeństwa. Ponieważ aktywność pochodzi z własnego urządzenia ofiary, banki i giełdy mogą mieć trudności z wykryciem oszustwa aż do momentu kradzieży środków.

Cleafy podsumowuje, że Albiriox stanowi istotną zmianę w cyberprzestępczości mobilnej, a przestępcy coraz częściej stawiają na złośliwe oprogramowanie skoncentrowane na ODF, zdolne do trwałego, pełnego przejęcia urządzenia.

W przyszłości badacze ostrzegają, że sektor finansowy, a zwłaszcza użytkownicy kryptowalut, powinni spodziewać się większej liczby ataków polegających na przejmowaniu sesji w czasie rzeczywistym, zamiast tradycyjnego phishingu lub kradzieży danych uwierzytelniających.

Generated Image: Midjourney