Paglalarawan ng Banta
Ang mga hacker ng Android ay kasalukuyang nakatuon sa higit sa 800 aplikasyon sa mga sektor ng banking, cryptocurrency, at social media. Ayon sa cybersecurity firm na Zimperium, natukoy ng kanilang mga mananaliksik ang apat na aktibong pamilya ng malware na gumagamit ng advanced na command-and-control infrastructure upang magnakaw ng mga kredensyal, magsagawa ng mga hindi awtorisadong transaksyong pinansyal, at mag-exfiltrate ng data sa malaking sukat.
“Sama-sama, ang mga kampanyang ito ay nakatuon sa higit sa 800 aplikasyon sa mga sektor ng banking, cryptocurrency, at social media. Sa pamamagitan ng paggamit ng mga advanced na anti-analysis techniques at structural APK tampering, madalas na pinapanatili ng mga pamilyang ito ang near-zero detection rates laban sa mga tradisyunal na signature-based security mechanisms.”
Ang mga pangalan ng mga pamilya ng malware ay RecruitRat, SaferRat, Astrinox, at Massiv.
Mga Paraan ng Pag-atake
Karaniwang umaasa ang mga attacker sa mga phishing website, mapanlinlang na alok ng trabaho, pekeng pag-update ng software, mga scam sa text message, at mga promotional lure upang hikayatin ang mga biktima na mag-install ng mga mapanlikhang Android apps. Kapag na-install na, ang malware ay maaaring humiling ng Accessibility permissions, itago ang mga icon ng app, hadlangan ang mga pagtatangkang i-uninstall, magnakaw ng mga PIN at password sa pamamagitan ng pekeng lock screens, kumuha ng mga one-time passcodes, mag-stream ng live na screen ng device, at mag-overlay ng mga pekeng login pages sa mga lehitimong banking o crypto apps.
“Ang mga overlay attack ay nananatiling pangunahing bahagi ng lifecycle ng credential-harvesting. Gamit ang Accessibility Services upang subaybayan ang foreground, natutukoy ng malware ang eksaktong sandali na inilunsad ng biktima ang isang financial application. Ang malware ay pagkatapos ay kumukuha ng isang mapanlikhang HTML payload at nag-o-overlay nito sa user interface ng lehitimong aplikasyon, na lumilikha ng isang napaka-kapani-paniwala, mapanlinlang na facade.”
Sinabi ng kumpanya na ang mga kampanya ay gumagamit ng HTTPS at WebSocket communications upang pagsamahin ang mapanlikhang traffic sa normal na aktibidad ng app, habang ang ilang mga variant ay nagdadagdag ng karagdagang mga layer ng encryption upang makaiwas sa detection.
