Виникла витончена еволюція зловмисного програмного забезпечення банківського банків, ввівши новаторську методологію атаки, яка використовує віртуалізацію пристрою для компромісів законних мобільних додатків.
Ця вдосконалена загроза являє собою значний відхід від традиційних нападів на накладку, створюючи повні ізольовані віртуальні середовища на пристроях жертв для виконання більш оманливих та ефективних операцій з фінансовими шахрайствами.
Основна увага зловмисного програмного забезпечення орієнтована на програми мобільного банкінгу та криптовалют, демонструючи обчислений підхід до максимізації фінансової вигоди за допомогою технологічних інновацій.
Основна інновація цього варіанту зловмисного програмного забезпечення полягає в його здатності встановлювати шкідливий хост -додаток, що містить комплексну рамку віртуалізації.
Замість того, щоб просто відображати фальшиві екрани для входу через законні програми, завантажує зловмисне програмне забезпечення та виконує фактичні копії цільових банківських або криптовалютних програм у його контрольованому середовищі пісочниці.
Коли користувачі намагаються запустити свої законні програми, вони безперешкодно перенаправлені до цих віртуалізованих випадків, коли кожна взаємодія, клавіші та введення даних контролюються та контролюються в режимі реального часу зловмисними акторами.
Дослідники Zimperium визначили цю складну кампанію як націлювання на майже 500 застосувань у всьому світі, з особливим акцентом на турецькі фінансові установи.
Відділ ZLABS фірми безпеки виявив, що ця методика віртуалізації забезпечує зловмисникам безпрецедентну видимість у процесах подання заявки, що забезпечує перехоплення облікових даних у режимі реального часу та обхід традиційних механізмів безпеки, таких як виявлення коренів.
Еволюція зловмисного програмного забезпечення включає розширені ухильні можливості за допомогою маніпулювання ZIP та міграції коду до шару Java, спеціально розробленим для перемоги над інструментами статичного аналізу, які використовуються дослідниками безпеки.
Вплив цього вектора атаки виходить далеко за рамки звичайних мобільних загроз. Зловмисне програмне забезпечення надає зловмисникам всебічний доступ до облікових даних для входу, включаючи імена користувачів, паролі та шпильки пристрою, в кінцевому рахунку сприяють повному сценаріях поглинання облікового запису.
Більшість, що стосується ідеальної можливості для обману, оскільки користувачі взаємодіють із справжніми, незмінними додатками в віртуалізованому середовищі, що робить виявлення за допомогою візуального огляду майже неможливим та ефективно нейтралізує пильність користувача як механізм захисту.
Це відкриття є істотним просуванням поза раніше задокументованими дослідженнями, включаючи попередні сім'ї зловмисних програм, таких як Fjordphantom та останній аналіз, опублікований у листопаді 2024 року.
Техніка принципово підриває довірчі відносини між користувачами та їх мобільними додатками, перетворюючи сам пристрій у ненадійне середовище, де законні програми стають інструментами для шпигунства та крадіжок.
Розширена реалізація віртуалізації та підключення рамок
Технічна архітектура атаки віртуалізації хрещеного батька покладається на законні інструменти з відкритим кодом, включаючи VirtualApp, XodyBidge, XodyInstaller та Xoded Frameworks для виконання своїх складних операцій накладки.
Зловмисне програмне забезпечення використовує законні можливості цих інструментів для створення середовищ пісочного коробки та підключення до конкретних інтерфейсів програмування додатків, забезпечуючи плавну роботу шкідливого коду в віртуальних просторах, витягуючи критичні дані користувача.
Процес віртуалізації працює за допомогою контейнерного підходу, де єдиний додаток розміщує кілька вторинних програм у віртуальній файлової системи, якою керує хост.
При запуску цільових програм, хост створює нові процеси, ідентифіковані як “com.heb.reb: va_core” та завантажує в них додатки.
Зловмисне програмне забезпечення систематично збирає списки встановлених додатків, перевірку на заздалегідь визначених цільових списках, і якщо присутні цілеспрямовані банківські програми, завантажує та встановлює компоненти Google Play Store у віртуальне середовище.
Хрещений батько використовує складні методи підключення, налаштовані для конкретних банківських додатків, використовуючи Xposed Framework для перехоплення мережевих з'єднань, підключивши метод Build () Okhttpclient.Builder Class.
Ця методика вводить користувальницькі перехоплювачі в конфігурації клієнтів, що дозволяє всебічно вести журнал мережевих запитів та відповідей.
Крім того, зловмисне програмне забезпечення, такі як критичні API, такі як GetEnableAccessibilityServist, повернення порожніх списків, щоб приховати активні шкідливі послуги з перевірки безпеки банківських додатків.
Посилити раннє виявлення, ескалацію та пом'якшення загрози з будь -яким. Загроза розвідки про загрозу Руна. Отримайте 50 пробних запитів.
