Команда McAfee Mobile Research обнаружила масштабную вредоносную кампанию, нацеленную на пользователей мобильных банковских услуг в Индии. Эксперты выявили сложный троянец, распространяемый через фишинговые сайты, имитирующие легитимные приложения индийских финансовых организаций, включая SBI Card, Axis Bank и IndusInd Bank. Особенность угрозы заключается в её двойной функциональности: она не только похищает конфиденциальные финансовые данные, но и незаметно майнит криптовалюту Monero на заражённых устройствах, используя инфраструктуру Firebase Cloud Messaging (FCM) для управления процессом.
Описание
Атака начинается с посещения пользователем поддельного веб-ресурса, который копирует дизайн и контент официальных банковских сайтов. Злоумышленники загружают изображения и скрипты напрямую с оригинальных платформ для повышения правдоподобности, добавляя кнопки скачивания вредоносного APK-файла. При запуске приложение демонстрирует экран, имитирующий Google Play Store, с требованием обновить софт. Этот этап является лишь прикрытием для активации многоуровневой системы загрузки вредоносного кода.
Технический анализ показал, что троянец действует как дроппер: первоначально безвредный компонент расшифровывает и исполняет скрытые модули. В assets-файлах хранятся зашифрованные DEX-компоненты, дешифруемые через XOR-ключ. Первый этап загружает промежуточный загрузчик, который, в свою очередь, активирует основной вредоносный модуль. Этот финальный payload отображает фиктивный интерфейс банковского приложения, запрашивая реквизиты карт (номера, CVV, сроки действия), которые немедленно передаются на C2-сервер злоумышленников. После кражи данных приложение симулирует процессы верификации, создавая иллюзию легитимности операций.
Вторая фаза атаки запускается удалённо через FCM-команды. Получив сигнал, вредонос скачивает и исполняет зашифрованный бинарный файл с расширением .so, используя ProcessBuilder для его запуска как отдельного процесса. Анализ аргументов командной строки подтвердил, что это модифицированная версия XMRig - открытого инструмента для майнинга Monero. Криптовалюта выбрана не случайно: её алгоритм RandomX оптимизирован для CPU-устройств, включая смартфоны, а механизмы скрытия транзакций затрудняют отслеживание злоумышленников. Майнинг происходит в фоновом режиме, потребляя ресурсы устройства и замедляя его работу, при этом пользователь не видит явных признаков активности.
Геоданные McAfee указывают, что 98% заражений сконцентрировано в Индии, что коррелирует с использованием хинди в интерфейсе и спецификой поддельных приложений. Незначительное число инцидентов зафиксировано в соседних странах, но масштабы там несопоставимы. Уникальность кампании - в комбинации двух монетизирующих механизмов: прямого хищения банковских данных и скрытой эксплуатации вычислительных мощностей для криптодобычи. Использование FCM позволяет вредоносу оставаться в «спящем» режиме до активации, усложняя детектирование.
McAfee, участвующая в альянсе App Defense Alliance, оперативно уведомила Google о угрозе, что привело к блокировке FCM-аккаунтов злоумышленников. Все образцы троянца детектируются решениями компании как High-Risk. Инцидент подчёркивает эволюцию мобильных угроз: злоумышленники всё чаще используют многоступенчатые схемы загрузки и легитимные облачные сервисы для управления атаками. Тенденция к таргетированию финансового сектора развитых рынков, таких как Индия, демонстрирует высокую рентабельность подобных операций для киберпреступников. Распространение через фишинговые сайты, а не официальные магазины приложений, указывает на важность веб-гигиены для пользователей.
Данный случай не первый в практике McAfee, связанный с атаками на индийских пользователей, но его техническая сложность и двойная нагрузка выделяют его на фоне предшественников. Аналитики отмечают, что злоумышленники совершенствуют социальную инженерию, используя реальные элементы банковских брендов, что повышает доверие жертв. Исследование также выявило адаптацию desktop-ориентированных техник (например, криптомайнинга) под мобильные платформы, что расширяет арсенал злоумышленников. Сокрытие полезной нагрузки через динамическую загрузку Dex-файлов остаётся популярным методом обхода статических проверок безопасности.
Вредонос продолжает распространяться через новые фишинговые домены, создаваемые злоумышленниками. Эксперты прогнозируют рост подобных гибридных атак, сочетающих финансовую мотивацию с эксплуатацией ресурсов устройств. Отсутствие массовых жалоб на замедление работы смартфонов свидетельствует об эффективности фоновой реализации майнинга. Пока Google Play Protect блокирует известные образцы, основным вектором заражения остаются веб-сайты, имитирующие банковские сервисы. Ситуация требует повышенного внимания со стороны финансовых организаций и регуляторов к вопросам цифровой грамотности клиентов.
Тщательный анализ сетевых метрик позволил выявить шаблоны C2-коммуникаций, но анонимность Monero-транзакций осложняет отслеживание финансовых потоков преступников. Использование Firebase как канала управления подчёркивает уязвимость легитимных облачных сервисов для злоупотреблений. Инцидент демонстрирует необходимость комплексного мониторинга мобильных угроз, сочетающего анализ статического кода, динамического поведения и сетевой активности. Борьба с такими кампаниями требует межкорпоративного взаимодействия, как в случае с оперативным блокированием FCM Google по данным McAfee.
Индикаторы компрометации
URLs
- https://axis.mycardcare.in
- https://icici.mycardcare.in
- https://indusind.mycardcare.in
- https://kotak.mycardcard.in
- https://www.sbi.mycardcare.in
SHA256
- 2c1025c92925fec9c500e4bf7b4e9580f9342d44e21a34a44c1bce435353216c
- 40bae6f2f736fcf03efdbe6243ff28c524dba602492b0dbb5fd280910a87282d
- 59c6a0431d25be7e952fcfb8bd00d3815d8b5341c4b4de54d8288149090dcd74
- 80c6435f859468e660a92fc44a2cd80c059c05801dae38b2478c5874429f12a0
- b01185e1fba96209c01f00728f6265414dfca58c92a66c3b4065a344f72768ce
FCM Account
- 469967176169
