Новая мобильная угроза: банковский троян TaxiSpy обретает функции полноценного шпионского ПУ

Исследовательская группа CYFIRMA первой задокументировала активность этой угрозы, направленной в первую очередь на пользователей банковских приложений. Однако опасность TaxiSpy выходит далеко за рамки личного банкинга. Аналитики из zLabs, исследовательского подразделения Zimperium, в ходе собственного расследования обнаружили уже 60 дополнительных образцов вредоноса, не попавших в первоначальный отчёт. Такое активное перепаковывание и создание новых вариантов - стандартная тактика современных операторов мобильных угроз, нацеленная на обход сигнатурных систем защиты и чёрных списков.

Технический анализ TaxiSpy показывает, что его создатели умело злоупотребляют критически важными функциями операционной системы Android для обеспечения максимального контроля. Во-первых, троян пытается стать обработчиком SMS по умолчанию. Это позволяет ему бесшумно перехватывать все входящие текстовые сообщения, включая одноразовые пароли (OTP), которые используются для двухфакторной аутентификации в банках и корпоративных сервисах.

Программа активно использует службы специальных возможностей (Accessibility Services). Хотя эти службы предназначены для помощи пользователям с ограниченными возможностями, вредоносное ПО часто эксплуатирует их для мониторинга действий на экране, автоматического нажатия кнопок и сбора вводимых данных, включая логины и пароли. Полученная информация, а также возможность удалённого выполнения команд передаются на управляемую злоумышленниками инфраструктуру.

Таким образом, арсенал атакующего становится чрезвычайно широким. Он включает не только прямой перехват средств аутентификации для хищения средств со счетов, но и полное наблюдение за жертвой, захват данных из любых приложений и скрытое управление устройством. Для бизнеса это создаёт прямые риски компрометации корпоративных аккаунтов. Если сотрудник использует заражённый телефон для доступа к рабочей почте, CRM-системе или облачным хранилищам компании, злоумышленник получает практически неограниченный доступ к этим ресурсам. Угроза обхода MFA (Multi-Factor Authentication, многофакторная аутентификация) через перехват SMS-кодов становится реальной и легко реализуемой.

Между тем, несмотря на постоянную эволюцию угрозы, существуют эффективные методы защиты. Ключевым принципом является перенос центра тяжести с облачных сигнатурных проверок на динамический анализ поведения приложений непосредственно на устройстве.

Ситуация с TaxiSpy - наглядный пример общей тенденции, когда границы между классами мобильных угроз размываются. Банковский троян сегодня редко ограничивается только overlay-атаками (наложением фальшивых окон). Он стремится получить тотальный контроль, превращаясь в шпионское ПО. Для организаций, внедряющих политики BYOD (использование личных устройств для работы) или выдающих сотрудникам корпоративные смартфоны, это сигнал к пересмотру стратегии защиты. Традиционные MDM-решения (управление мобильными устройствами), сфокусированные на политиках соответствия и удалённом администрировании, часто бессильны против сложных вредоносных программ. Требуется многослойная защита, где критически важным элементом становится именно поведенческий анализ и защита в процессе выполнения на самом устройстве, способная блокировать атаку до того, как данные будут похищены. В противном случае мобильное устройство сотрудника может стать той самой слабой ссылкой, которая откроет киберпреступникам путь в корпоративную сеть.

MD5

• 028dd09c9952225599e4ffb7c3f88b56
• 0820f4988e47b07f4af293892923aabd
• 09672018eb182a9d0331d255d6f717bd
• 0d2214683b0abf1860d725dad83c5355
• 0dc801763fef0469b6f096d5b622e9ee
• 1ccffbd344da5dea6a3685a0e0156c3c
• 1f2f6dc7aafdf9f49d54eed3e37eeaf5
• 1f72790cbc76fa617833172742e13ea9
• 289dcc1152b6d7174f11f4db1f06bed5
• 291a1bce3ef62ba4a35f54a87740bf7b
• 2a9d989dc588b703aca290b2f69ee6b7
• 2c1dfbd152f31789486e07a9de51e93a
• 2cb37bf3629e2be74a22cc024f5198c3
• 353ec85e74d6c607c43a362c400abad5
• 394ad7eea846bcf0abfdcaffcf24ecd6
• 3aa6a47ca70de3fefc13db9fef191844
• 3cc6e123f5cd72951a612345d8c0759d
• 3d8c824f8920e60ababd37869e2f7afd
• 3f361825d54a5eedd3f4b9e71d1465a9
• 47835635cfd9a024ad5d87a1a41b4d24
• 50c8f0e97aaa33949b95f3182fd42f09
• 5177521fd134ac79459887cbc13fc92e
• 51bef3c91e4eae0d48f02a2be6b68dd5
• 527e377302ed582ce4ecad2e69646ee9
• 6041262ee1199136c1e6b282fb4c5ed7
• 626f6dfa04aedfe9adffb9b881438599
• 634a301aed633f85633262a5d0107a3d
• 64b85fb93a2219d88e238a5cb6dd3e27
• 660f843baa501872c17405e57c844bbb
• 6f43396a1c80c32429badb98939e5432
• 8037fe94b46970f04c4aceb75cd88665
• 80daae92f83095e60b4bb06e5c4df083
• 85fdba50ab7eb323befbcf4d66217957
• 925a134d62ad3c92403f83251f5859a5
• 941099638de487d6dab6cc7c556f6d51
• 9411eca26cae91740c93dfc6b1bee663
• 97442a8ec21ea0625f4a5b46d7effc74
• a29ab7ebcbc2baff3305f3fcd3c33cd6
• a863b7e1c61a919b3e4cfa7d7619880d
• af718e7a263c83372b4649365728558b
• b4b52e664ef231ab8d2d57d3acaaceb3
• be6e0147399e750233adb510a1eabf47
• c08d2f07de87eaa0fc42ac475896b90d
• c275b0550fad98cb7a466282ddc461cf
• cd3c627c8e1cf6dc302b1fefa3ac34fa
• ce21bde1d634a2cd7507114a07ae672d
• d2008ee93cd79914061f08b5d5270381
• d625d23fb3538def8fc0ce875ea547e1
• dc4052d0669653fcb8c42026752701f4
• dcab6f9f77e0e2f2dfffb914451b650c
• e1f6c9e6e3059ea5b6d3a7b2fe78d41e
• e2818da8ea8f8b3d02aa6fb79ea297ba
• e973671dd1f88e1da9603d2e0a20f0a7
• ef7f6be57f1ed0b28a9a2ab08cd14ba2
• efe2c4e9ffaf268d88e40a8b3e9c60db
• f4ed0d347b43dc8fbacdcd54ae3e92ab
• f69dbaac4f2d459a09e0c8c38a7efcc9
• f7c29b75926047f0389960643820f3d0
• f866a16b2149156d0a3e30977f56ddc6
• fb9285380678439a2e4da9b9ef28473b