Софистициран банкарски тројанец за Андроид, наречен „DoubleTrouble“, кој претходно се ширеше преку лажни банкарски веб-страници, сега користи нова, подмолна стратегија: се шири преку Discord во форма на APK фајлови.

DoubleTrouble не е обичен малициозен софтвер. Тоа е софистициран шпион во вашиот џеб. Додека вие лежерно пишувате пораки или преземате апликации, овој малвер тивко се инсталира и ја презема контролата врз вашиот уред.

Истражувачите во Zimperium анализираа девет примероци од малвер од тековната кампања и 25 од претходните.

Неодамнешниот извештај на Zimperium наведува дека најновата верзија на тројанецот нуди неколку нови функции дизајнирани да крадат чувствителни податоци, да манипулираат со однесувањето на уредот и да ги избегнуваат традиционалните мобилни одбрани.

DoubleTrouble се маскира како легитимна апликација користејќи икона на Google Play и ги поттикнува корисниците да ги овозможат услугите за пристапност на Android. Овој пристап му овозможува на малициозниот софтвер да работи прикриено во позадина.

Најновата верзија на малициозниот софтвер вклучува голем број напредни функции, вклучувајќи снимање на екранот во реално време преку MediaProjection и VirtualDisplay API-јата, активирање на лажен екран за отклучување за кражба на PIN, лозинка или шема за отклучување, функционалност за снимање на клучеви, блокирање на одредени апликации, особено банкарски или безбедносни апликации и имитирање на легитимни екрани за најавување на апликации.

Целата собрана содржина, вклучувајќи ги најавувањата за банки, менаџери за лозинки и крипто паричници, е шифрирана од DoubleTrouble и испратена до C2 сервер управуван од сајбер криминалци. И што е особено опасно: бидејќи напаѓачите можат да го видат екранот во реално време, тие можат да ја заобиколат повеќефакторската автентикација.

Тројанецот реагира на десетици команди испратени од C2 серверот, дозволувајќи им на напаѓачите да симулираат допири и лизгања, да лансираат лажни елементи на корисничкиот интерфејс, да прикажуваат црни или лажни екрани за ажурирање и да ги контролираат поставките на целиот систем.

Командите како што се send_password, start_graphical и block_app им овозможуваат на напаѓачите да собираат информации, нарушувајќи го користењето на уредот од страна на корисникот.

DoubleTrouble е типичен пример за нова генерација мобилни закани: динамичен, постојан и тежок за откривање. Користи софистицирани техники на маскирање и се потпира на сè почести дистрибутивни канали (како што е Discord), што го прави сериозна закана не само за обичните корисници, туку и за банките, ИТ одделите и организациите кои се потпираат на мобилни уреди.