Аналитики ThreatFabric обнаружили новую Android-малварь Alien. В первую очередь вредонос ориентирован на банковские приложения, но в целом способен похищать учетные данные из 226 приложений.
Alien продается на хакерских форумах по схеме MaaS (Malware-as-a-Service, Малварь-как-услуга). При этом вредонос не был разработан с нуля, он базируется на исходных кодах известного банкера Cerberus, которые недавно стали распространяться бесплатно. По информации экспертов Threat Fabric, Cerberus прекратил свое существование из-за того, что команда безопасности Google нашла способ обнаруживать и очищать зараженные им устройства. Хотя Alien базируется на старой версии Cerberus, он, судя по всему, не имеет таких проблем и может стать полноценным наследником известного банкера.
Исследователи пишут, что с технической точки зрения Alien можно назвать более продвинутым, чем Cerberus. Так, Alien относится к новому поколению банковских троянов, которые интегрировали в свой код функции удаленного доступа. Таким образом, Alien может не только показывать жертве фальшивые логин-экраны и собирать пароли от различных приложений и сервисов, также он способен предоставить хакерам удаленный доступ к зараженным устройствам, чтобы те могли использовать похищенные учетные данные или выполнить другие действия.
Эксперты ThreatFabric сообщают, что большинство функций малвари используется для мошеннических операций, ведь операторы Alien, как большинство создателей современных Android-троянов, преследуют финансовую выгоду. В настоящее время Alien способен:
- выводить контент поверх других приложений (используется для фишинга учетных данных);
- перехватывать вводимые с клавиатуры данные;
- предоставлять удаленный доступ к устройству (после установки TeamViewer);
- собирать, отправлять и пересылать SMS-сообщения;
- похищать список контактов;
- собирать информацию об устройстве и списки приложений;
- собирать данные о геолокации;
- осуществлять USSD-запросы;
- перерадресовать звонки;
- устанавливать и запускать другие приложения;
- запускать браузеры, открывая в них произвольные страницы;
- блокировать экран, подобно вымогателю;
- следить на уведомлениями на устройстве;
- воровать коды 2ФА, созданные приложениями-аутентификаторами.
Анализ исследователей выявил, что в общей сложности Alien может отображать фальшивые логин-страницы в 226 других приложениях. В основном малварь, конечно, интересуют банковские продукты, однако помимо них Alien атакует почтовые клиенты, социальные сети, мессенджеры и криптовалюты (в том числе Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp и так далее). Полный список можно найти в отчете компании.
Большинство банковских приложений, на которые нацелены разработчики Alien, относятся к финансовым учреждениям из Испании, Турции, Германии, США, Италии, Франции, Польши, Австралии и Великобритании.
Отчет ThreatFabric умалчивает о том, как Alien попадает на устройства пользователей, так как способы доставки могут разниться: все зависит от того, что именно предпочитают клиенты Alien MaaS. Порой такие вредоносные приложения даже попадают в Google Play, но в большинстве случаев они распространяются по другим каналам.
«Похоже, что многие из них распространяют [Alien] через фишинговые сайты, например, вредоносная страница обманным путем заставляет жертв загружать поддельные обновления ПО или фейковые приложения, связанные с коронавирусом (весьма распространенный трюк в последнее время). Еще один замеченный нами метод — это SMS-сообщения: заразив устройство, хакеры похищают список контактов, который затем используют для дальнейшего распространения своей вредоносной кампании», — рассказали эксперты ThreatFabric журналистам издания ZDNet.
В целом зараженные Alien приложения легко обнаружить, ведь обычно они требуют, чтобы пользователь предоставил им права администратора или доступ к Accessibility service.
