Банков „троянски кон” открадва пари от потребители на Android

Нова заплаха от зловреден софтуер с характеристиките на троянски кон създава безпрецедентно голяма ботнет мрежа, рискувайки да източи всичките средства на своите жертви. Особено забележителни са скритите функции на вируса, които го поставят на ново ниво спрямо обичайните заплахи в киберпространството.

Към момента, банковият троянец с името Kopatra е успял да компрометира най-малко три хиляди Android устройства, като основните му жертви са разположени предимно в Испания и Италия. Техният опит за анализ показва, че характеристиките на това зловредно приложение отразяват високо ниво на технически компетенции.

Еволюцията на мобилния зловреден софтуер

След проучване, извършено от експертите на италианската компания Cleafy, която се специализира в предотвратяването на киберпрестъпления, бе установено, че Kopatra използва скрита виртуална мрежова връзка (VNC) за поддържане на контрол над заразените устройства и за прихващане на идентификационни данни за достъп.

„Kopatra бележи значителна техническа еволюция в мобилния зловреден софтуер“, заявиха от Cleafy в своето блог публикация. „Той комбинира широко използване на оригинални библиотеки на мобилни операционни системи с интеграцията на Virbox, инструмент за защита на код от търговски клас, което прави откритията и анализа изключително трудни“.

Изследванията разкриват, че данните, извлечени от контролната инфраструктура на този зловреден софтуер, и допълнителните езикови артефакти показват, че Kopatra е създаден и управляван от група, на която е характерен турският език.

Ботнет мрежата, включваща заразени устройства, изглежда да е высокосекретна: не са открити признаци, че Kopatra се предлага за аренда или разпространяване като зловреден софтуер.

Специалистите са идентифицирали най-малко 40 различни конфигурации на злонамерения софтуер, като най-ранните версии датират още от март 2025 г.

Уловка с проста стръв

Началният вектор за атака представлява традиционно социално инженерство: жертвите са манипулирани да изтеглят дропер, маскиран като безобидни инструменти, например приложения за пиратска IPTV.

Тези ресурси са доста популярни сред мобилните потребители, които често инсталират приложения от опасни или недостоверни източници.

След инсталирането на устройството, дроперът иска разрешение за инсталиране на допълнителни компоненти от неизвестни източници. Ако потребителят даде това разрешение, дроперът изтегля и инсталира основното тяло на Kopatra, което включва вграден JSON пакет.

След това Kopatra изисква достъп до услугата за достъпност, което е честа практика при този тип зловреден софтуер. Нападателите обикновено се опитват да използват услугите за достъпност за свои цели – например, за да четат съдържанието на екрана, да прихващат натискания на клавиши или да извършват различни операции от името на потребителя, дори и без негово знание, включително източването на банковата му сметка.

С това не свършва всичко. Зловредният софтуер използва услугата за достъпност, за да блокира опити за прекратяване на своя системен процес и дори се опитва да деинсталира всякакво налично антивирусно приложение.

Динамични екрани

Когато потребителят се опитва да осъществи достъп до определени банкови или финансови приложения, троянският кон динамично зарежда фалшиви полета за вход от контролен сървър, следейки, за да идентифицира точните ситуации.

Нападателите очевидно извършват кражба на средства ръчно. Операторът на атаката проверява текущото състояние на устройството – когато то не е в активно използване, телевизорът е изключен или устройството е в режим на заспиване, операторът командва устройството да намали яркостта на дисплея до нула, което го прави да изглежда, че е в режим на заспиване.

В действителност, операторът използва предварително откраднати идентификационни данни, за да получи достъп до устройството, банковите или криптовалутни приложения и да извлече средства. Тези атаки почти винаги се осъществяват през нощта.

„Това, което отличава Kopatra от по-типичните мобилни заплахи, е неговата усъвършенствана архитектура, проектирана да гарантира скритост и устойчивост“, отбелязва Cleafy.

„Авторите на зловредния софтуер са интегрирали в кода Virbox, инструмент за защита на търговски програми, който преди е бил рядко срещан сред заплахите за Android. Тази стратегия, заедно с решението да се прехвърли ключовата функционалност от Java в оригинални библиотеки, създава изключителен слой защита”, допълват експертите.

Тази архитектурна практика сериозно намалява разпознаваемостта на троянския кон за традиционните инструменти за анализ и защита. „Значителната обфускация на кода, механизмите за отстраняване на грешки и проверките за целостта по време на изпълнение служат за възпрепятстване на анализа“ казват от Cleafy.

Скритостта на троянския кон е това, което отразява неговата опасност, но не трябва да се пренебрегва и начина, по който той прониква в устройството на жертвата. Стръвта му често включва пиратски ресурси, обозначаваща явление на социално инженерство, коментират специалисти.