Teprve vznikající trojský kůň pro Android už má první oběti. Rychle proniká do bankovnictví, ale peníze nejsou to jediné, co odnese

Během loňského podzimu se začal objevovat nový malware, který kombinuje hned několik typů hrozeb v jednom balíčku. Redakce Mobify si všimla především toho, jak brzy byl použit proti skutečným obětem, přestože je stále ve vývoji. Dokáže proniknout do internetového bankovnictví, sledovat uživatele, případně telefon zablokovat.

Nový trojský kůň je modulární, tedy přizpůsobivý

Nový typ viru zvaný DeVixor patří mezi trojské koně pro vzdálený přístup (RAT). Dle vysvětlení Wikipedie umožňuje po instalaci ovládat infikovaný telefon na dálku, sbírat data a dál škodit. Oproti starším hrozbám ale nejde jen o krádež údajů. Malware je od začátku navržený tak, aby se uměl přizpůsobit a dále se rozšiřovat.

Dle informací z theCyberExpress se deVixor vyvinul z poměrně jednoduchého nástroje, který sbíral SMS zprávy, do plnohodnotné platformy kombinující bankovní podvody, sledování zařízení a prvky ransomwaru. To z něj dělá extrémně nebezpečnou hrozbu, zejména pro méně zkušené uživatele Androidu.

Prvně se útočníci vydávali za automobilovou firmu

První zaznamenané kampaně cílily hlavně na uživatele íránských bank, uvedl SCWorld. Útočníci využívali phishingové weby, které se tvářily jako stránky automobilových společností a lákaly na výrazné slevy. Návštěvníkům nabízely ke stažení aplikace ve formátu APK, které však místo slíbené služby obsahovaly škodlivý kód.

Výzkumníci analyzovali více než 700 různých vzorků deVixoru, což naznačuje, že nejde o ojedinělý incident, ale o masovou a dlouhodobě plánovanou kampaň. Řízení infekcí probíhá přes infrastrukturu založenou na Telegramu, což útočníkům umožňuje velmi rychle aktualizovat funkce a reagovat na nová bezpečnostní opatření.

Malware toho umí hodně, proto je tak zrádný

DeVixor má k dispozici překvapivě široký arzenál funkcí. Umí číst a odesílat SMS zprávy, zachytávat jednorázová hesla (OTP), sledovat oznámení z bankovních aplikací a získávat informace o zůstatcích na účtech či platebních kartách. Dokáže načítat legitimní bankovní stránky do falešného rozhraní, a tak krást přihlašovací údaje.

Kromě finančních dat se zaměřuje i na obecné sledování zařízení. Umí zaznamenávat, jaké klávesy uživatel stiskne, pořizovat snímky obrazovky, shromažďovat kontakty a maskovat se v systému. Zneužívá také službu usnadnění přístupu v Androidu, což mu dává prakticky neomezené možnosti, co se ovládání telefonu týče.

Ransomware v mobilu jako další stupeň útoku

Zvláštní pozornost si zaslouží ransomwarový modul, který je možné spustit na dálku. Po aktivaci malware zařízení uzamkne a zobrazí výzvu k zaplacení jakéhosi „výkupného“ v kryptoměně TRON. Požadovaná částka se samozřejmě může lišit, ale v podobných případech se běžně pohybuje v řádu tisíců korun.

Důležité je, že informace o uzamčení zařízení se ukládají přímo do paměti telefonu. To znamená, že ani restart nepomůže a oběť tak zůstává bez přístupu ke svému zařízení, dokud se útočník nerozhodne, co vyvede dál.

Přestože se současné kampaně soustředí hlavně na Írán, infrastruktura i způsob šíření poukazují na to, že rozšíření do dalších regionů je jen otázkou času. Aktivní vývoj, rostoucí počet verzí a využití globálních služeb, jako je Firebase a Telegram, ukazují na snahu vytvořit malware, který lze snadno přizpůsobit jiným trhům.