Новая вредоносная программа для Android обходит многофакторную аутентификацию

Вредоносная программа была подробно описана исследователями кибербезопасности из F5 Labs, которые назвали ее Malibot. Это последнее из серии мощных вредоносных программ, нацеленных на пользователей Android.

В дополнение к удаленной краже паролей, банковских реквизитов и криптовалютных кошельков, MaliBot может получать доступ к текстовым сообщениям, красть файлы cookie веб-браузера и делать снимки экрана с зараженных устройств Android. Он также может обойти многофакторную аутентификацию (MFA) – одно из ключевых средств защиты от киберпреступников.

Как и многие вредоносные программы для Android, MaliBot распространяется путем отправки фишинговых сообщений на телефоны пользователей с помощью SMS-сообщений (smishing) или привлечения жертв на мошеннические веб-сайты. В обоих случаях жертвам предлагается перейти по ссылке, которая загружает вредоносное ПО на их телефон.

На данный момент исследователи обнаружили два вредоносных веб-сайта, используемых для распространения MaliBot – один из них представляет собой поддельную версию законного приложения для отслеживания криптовалют с более чем миллионом загрузок из магазина Google Play.

После загрузки MaliBot скрытно запрашивает у жертвы разрешения на доступ и запуск, необходимые для мониторинга устройства и выполнения вредоносных операций. Это включает в себя кражу конфиденциальной информации, такой как пароли и банковские реквизиты, а также кража кодов многофакторной аутентификации.

Пользователям Google Android рекомендуется использовать двухэтапную проверку, предназначенную для защиты учетных записей от доступа злоумышленников. Но киберпреступники, стоящие за MaliBot, знают об этом и придумали способ обойти это.

Как только MaliBot захватит учетные данные на устройстве, он может обойти многофакторную аутентификацию, используя специальные разрешения, чтобы нажать кнопку «Да» в приглашении, спрашивающем, пытается ли пользователь войти в систему. Если пользователь увидит это, он может счесть это подозрительным, но доступ, предоставленный MaliBot, может скрыть наложение на приглашение, чтобы его не было видно.

MaliBot также использует аналогичную технику для обхода дополнительных защит вокруг криптовалютных кошельков, позволяя злоумышленникам красть любые биткоины или другие криптовалюты со счетов, связанных с зараженным Android-смартфоном.

В дополнение к краже конфиденциальной информации и валюты у жертвы, MaliBot также оснащен возможностью отправки SMS-сообщений, которые могут быть использованы для заражения других вредоносным ПО – тактика, аналогичная той, которая позволила вредоносному ПО FluBot стать успешным.

В настоящее время кампания MaliBot нацелена исключительно на клиентов испанских и итальянских банков, но исследователи предупреждают, что «со временем мы можем ожидать добавления в приложение более широкого круга целей».

Хотя вредоносная программа нацелена на кражу банковских реквизитов и криптовалюты, она предупреждает, что мощные возможности MaliBot, которые позволяют контролировать зараженное устройство, могут «использоваться для более широкого спектра атак, чем кража учетных данных и криптовалюты».

Чтобы не стать жертвой MaliBot или других вредоносных программ для Android, пользователям следует с осторожностью переходить по ссылкам в неожиданных текстовых сообщениях и загружать приложения со сторонних веб-сайтов.

Пользователи также должны знать о рисках, связанных с включением опций доступности – хотя они и используются законно, ими также широко злоупотребляют киберпреступники.