Nova generacija zlonamjernih programa za Android uređaje sve agresivnije cilja korisnike mobilnog bankarstva i kriptovaluta, a sigurnosni stručnjaci upozoravaju na tri posebno opasna virusa – Crocodilus, Anatsa i Hook. Riječ je o sofisticiranim bankarskim trojancima koji korisnicima mogu ukrasti lozinke, SMS poruke, podatke kartica pa čak i potpuno preuzeti kontrolu nad uređajem.
Sigurnosna tvrtka ThreatFabric otkrila je novi malware nazvan Crocodilus, koji se već opisuje kao jedna od najnaprednijih prijetnji za Android uređaje. Kako objašnjava Threat Fabric, virus koristi tzv. overlay napade – lažne ekrane koji se pojavljuju preko legitimnih aplikacija za mobilno bankarstvo ili kripto novčanike kako bi prevarili korisnike da sami unesu svoje pristupne podatke. Nakon što dobije dopuštenje za korištenje Android Accessibility servisa, Crocodilus može pratiti sve što korisnik radi na zaslonu, snimati tekst koji upisuje i presretati jednokratne sigurnosne kodove iz aplikacija poput Google Authenticatora.
Posebno zabrinjava mogućnost potpunog “skrivenog” upravljanja uređajem. Malware može uključiti crni zaslon preko cijelog ekrana i utišati zvuk telefona dok napadači u pozadini obavljaju lažne transakcije. Istraživači navode da su prve kampanje bile usmjerene na korisnike u Španjolskoj i Turskoj, ali očekuje se brzo širenje na druga tržištam, prenosi Večernji list.
Drugi virus, Anatsa – poznat i pod nazivima TeaBot i Toddler – već godinama kruži Android ekosustavom, no i dalje uspijeva zaobići zaštite Google Playa. Kako navodi The Hacker News, posljednja kampanja zarazila je oko 90.000 korisnika preko lažne aplikacije za pregled PDF dokumenata. Napadači najprije objave aplikaciju koja izgleda potpuno normalno i sigurno, a tek nekoliko tjedana kasnije kroz nadogradnju ubace zlonamjerni kod. Anatsa zatim prikazuje lažne obavijesti o “održavanju sustava” kada korisnik otvori mobilnu banku, čime skriva krađu podataka i istovremeno sprječava korisnika da odmah kontaktira banku. Virus omogućuje krađu lozinki, presretanje tipkanja i potpuno daljinsko upravljanje uređajem kako bi kriminalci mogli sami izvršavati financijske transakcije.
Treći malware, Hook, otišao je korak dalje kombinirajući metode bankarskih trojanaca, špijunskog softvera i ransomwarea. Prema analizi tvrtke Zimperium, nova verzija Hooka uključuje čak 107 različitih naredbi za daljinsko upravljanje uređajem. Virus može prikazivati ucjenjivačke poruke nalik ransomwareu, lažne NFC zaslone za krađu podataka kartica i imitacije zaključanog zaslona telefona kako bi korisnik nesvjesno otkrio svoj PIN. Hook također može tajno snimati zaslon, preuzimati fotografije, uključivati kameru i mikrofon, pratiti lokaciju uređaja te presretati SMS poruke i sigurnosne kodove. Istraživači upozoravaju da se malware ne širi samo preko phishing stranica nego i putem GitHub repozitorija na kojima kriminalci dijele zaražene APK datoteke.
Stručnjaci upozoravaju da tradicionalna antivirusna zaštita više nije dovoljna protiv ovakvih prijetnji. Korisnicima savjetuju izbjegavanje instalacije aplikacija iz nepouzdanih izvora, oprez pri dodjeljivanju Accessibility dozvola te redovito ažuriranje uređaja i aplikacija. Financijske institucije, s druge strane, sve se više oslanjaju na analizu ponašanja uređaja kako bi prepoznale sumnjive aktivnosti prije nego što dođe do krađe novca.
