Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Малициозниот софтвер за Андроид ги исклучува предупредувањата, ги празни крипто паричниците

Објавено: 04.11.2025

Android/BankBot-YNRK во моментов ги таргетира корисниците во Индонезија, сокриен како легитимни апликации.

Истражувачи за безбедност откриле „многу способен“ нов мобилен банкарски тројан кој ги таргетира корисниците на Android во Индонезија и можеби и во други земји од Југоисточна Азија.

Како и многу Android банкарски тројани, овој малициозен софтвер ја злоупотребува функцијата за пристапност (accessibility) на Android за да им овозможи на напаѓачите целосна далечинска контрола над заразените уреди, пресретнување на СМС пораки и крадење чувствителни податоци — вклучувајќи лозинки, клучеви за криптовалути и друга лична информација. Според снабдувачот на разузнавачки информации Cyfirma, малициозниот код користи техники за обфускација за да избегне детекција, проверува дали работи на вистински уред или на емулатор, ги крие своите активности од корисникот и користи механизми за постојаност за да остане активен дури и по рестартирање на уредот.

Оружена дигитална идентификација

Истражувачите на Cyfirma го следат тројанот како „Android/BankBot-YNRK“ откако пронашле три примероци скриени во верзии кои изгледаат легитимно на „Identitas Kependudukan Digital“, дигиталната верзија на националната лична карта на Индонезија. Анализата на снабдувачот за безбедност покажала дека малициозниот софтвер главно ги таргетира уредите со Android 13 и постари, каде може да ги добие дозволите за пристапност потребни за извршување на неговите бројни злонамерни активности. „До Android 13, апликациите можеа да ги заобиколат барањата за дозволи преку accessibility функција,“ објаснува Cyfirma во неодамнешниот блог пост. „Меѓутоа, со Android 14 ова повеќе не е можно — корисникот мора директно преку системскиот интерфејс да им ги даде дозволите.“

Извештајот на Cyfirma не го прецизирал конкретниот начин на кој операторите на Android/BankBot-YNRK ја доставуваат малверзијата до уредите на жртвите. Сепак, фактот дека е маскиран како легитимна владина апликација која бара корисниците рачно да го инсталираат APK-от сугерира дека ризикот е најголем за корисниците кои инсталираат апликации однадвор — надвор од официјалните продавници за мобилни апликации (sideloading). Тоа е пракса против која истражувачите за безбедност долго предупредуваат, бидејќи носи ризици за корисниците на мобилни уреди, особено во корпоративни средини.

Пред да започне со каква било малициозна активност, Android/BankBot-YNRK прво се уверува дека всушност работи на физички уред. Потоа ја утврдува марката и моделот на уредот за да може да активира соодветни функции оптимизирани за конкретни модели — вклучувајќи Google Pixel и Samsung — додека ги игнорира другите модели. Cyfirma открил дека малицискиот код содржи функции кои практично ја оневозможуваат целата звучна сигнализација на уредот, вклучувајќи дојдовни повици, системски известувања и пораки. „Таквото однесување често се користи за да се избегне откривање од страна на корисникот, овозможувајќи малицискиот софтвер да го изврши својот payload или други злонамерни рутини без да привлече внимание,“ изјавуваат од Cyfirma.

Откако жртвите ќе им дадат дозволи за пристапност на Android/BankBot-YNRK, тројанот си обезбедува привилегии потребни за автоматизирање на интеракции со корисничкиот интерфејс, екстракција на чувствителни податоци и извршување неовластени операции без директна интеракција од корисникот. Малицискиот софтвер ги измамува корисниците да им ги дадат овие дозволи така што лансира целосно-екрански преклоп (overlay) на индонезиски јазик кој се претставува како „Потврда на лични податоци“ (Personal Information Verification). Насочувањето велело на жртвите да чекаат додека тој тивко во позадина овозможува сите потребни дозволи, според извештајот на снабдувачот.

Снимки во реално време

Еден особено загрижувачки аспект на малверот е неговата способност да прави снимки (скриншотови) во реално време од уредот на жртвата за да ја мапира точната распоредба на банкарските апликации — на пример каде се наоѓа полето за лозинка и другите копчиња. Потоа го користи овој „скелет“ на интерфејсот за автоматизација на внеси, крадење на креденцијали, извршување измамнички трансакции и одржување перзистентност на компромитираните уреди. „Малверот функционира како контролер за крипто-новчаници, програмски ја отвора апликацијата за новчаник и ја интерактира со нејзиниот интерфејс преку услугите за пристапност,“ изјави Cyfirma. „Со автоматизација на UI-акции и снимање на содржината на екранот, може да извлече чувствителни информации прикажани во новчаникот (на пр., seed фрази, приватни клучеви или потврди за трансакции) без согласност на корисникот.“ Малверот ги таргетира повеќето криптовалути и поврзаните новчаници, вклучувајќи Bitcoin, Ethereum, Litecoin и Solana. Android/BankBot-YNRK е меѓу растечкиот број Android тројанци што таргетираат крипто-новчаници.

Една од тактиките за обфускација што Cyfirma ја забележа кај Android/BankBot-YNRK беше менување на името и иконата на апликацијата за да се претстави како Google News. Безбедносниот продавец откри дека малверот всушност ја вчитува вистинската google.com страница внатре во WebView, додека неприметно извршува злонамерни активности во позадина. За долгорочна перзистентност, една од триковите што ги користи малверот е закажување повтарливи задачи кои може да преживеат рестарти (reboots), преку функцијата JobScheduler на Android.

Android/BankerBot-YNRK претставува најнова еволуција во брзо растечкиот екосистем на Android-малвери и закани. Анализа на Intel471 порано годинава ја истакна големата зголеменост во 2024 во користењето на напредни можности како запишување на притискања на тастите (keylogging), скриен виртуелен VNC (HVNC), далечински функции за контрола и злоупотреба на NFC реле. Истражувачите на Intel471 забележаа дека напаѓачите сè повеќе користат специјализирани dropper-и, со имиња како TiramisuDropper и Brokewell Android loader, за да ги заобиколат ограничувањата за пристапност на Android 13 и да инсталираат малвер странично (sideload) на уредите на жртвите. Intel471 исто така забележа дека широко достапниот исцеден (leaked) изворен код го намали прагoт за влез за нетехнички сајбер-криминалци, забрзувајќи ја и развојот и монетизацијата на злонамерни Android-апликации.

Извори:

  • Darkreading – „Android Malware Mutes Alerts, Drains Crypto Wallets“ Darkreading