Крипта, банки и госуслуги. Сразу шесть новых троянов начали охоту на пользователей Android

Сразу несколько новых семейств Android-вредоносов вышли на охоту за деньгами пользователей, банковскими приложениями и криптокошельками. Исследователи в области ИБ зафиксировали как классические банковские трояны, так и более универсальные инструменты удалённого доступа, которые позволяют не только красть данные, но и перехватывать финансовые операции почти в реальном времени.

Наибольшее внимание привлёк PixRevolution, нацеленный на бразильскую платёжную систему Pix. По данным Zimperium, программа маскируется под страницы Google Play с приложениями Expedia, Sicredi и Correios, после установки добивается доступа к специальным возможностям Android и начинает следить за экраном устройства.

Когда пользователь вводит сумму и ключ получателя для перевода через Pix, вредонос подменяет реквизиты на данные злоумышленников. Для маскировки поверх интерфейса появляется фальшивое окно с сообщением «Подождите...», а после завершения операции жертва видит обычное подтверждение перевода. Азим Ясвант из Zimperium отмечает, что такая схема отличается от привычных банковских троянов участием удалённого оператора или автоматизированного агента, который ждёт нужный момент и вмешивается прямо во время транзакции.

В Бразилии также заметили кампанию BeatBanker. По оценке «Лаборатории Касперского», вредонос распространяется через фишинговые сайты, замаскированные под Google Play, и сочетает банковский модуль с майнером криптовалюты. Для сохранения активности программа использует необычный приём — почти неслышимую аудиозапись, проигрываемую по кругу.

BeatBanker умеет подменять адреса получателя при переводах USDT через Binance и Trust Wallet, следит за браузерами и получает команды через Firebase Cloud Messaging. В новых версиях вместо банковского модуля всё чаще загружается BTMOB RAT, который связывают с развитием семейств CraxsRAT, CypherRAT и SpySolr, ранее приписанных сирийскому участнику подполья под псевдонимом EVLF.

Ещё одна находка, TaxiSpy RAT, охотится за пользователями российских банковских, государственных и криптовалютных приложений. По сведениям CYFIRMA и Zimperium, вредонос собирает SMS, контакты, журналы вызовов, содержимое буфера обмена, PIN-коды блокировки и нажатия клавиш, а также показывает фальшивые окна поверх легитимных приложений для кражи учётных данных. Среди методов сокрытия аналитики выделяют шифрование нативных библиотек, запутывание строк и удалённое управление через WebSocket.

Параллельно на теневых площадках и в Telegram продаются новые Android-сервисы по модели «вредонос как услуга». Mirax предлагают как закрытый набор для банковских атак, Oblivion — как инструмент с автоматическим обходом выдачи разрешений на смартфонах Xiaomi, Samsung, OPPO, Honor и OnePlus, а SURXRAT продвигают как доработанную версию Arsink.

Часть образцов SURXRAT уже получила модуль с большой языковой моделью, а некоторые версии умеют блокировать экран в стиле программ-вымогателей. Аналитики Cyble считают, что авторы Android-вредоносов всё активнее совмещают классические средства слежки с ИИ-компонентами, чтобы быстрее развивать инструментарий и обходить защиту.