ЦарьБот: коварный троян-невидимка, ворующий банковские данные

Мобильные угрозы продолжают эволюционировать — на арену вышел новый банковский троян TsarBot, поражающий устройства на базе Android. Исследователи из компании Cyble обнаружили его в цепочке атак, охвативших более 750 мобильных приложений в сферах онлайн-банкинга, финансов, криптовалют и электронной коммерции.

Основной механизм работы TsarBot — наложение поддельных экранов входа поверх легитимных приложений. Это позволяет красть логины, пароли, реквизиты банковских карт и другие конфиденциальные данные. Маскируясь под Google Play Services, троян устанавливается через вредоносный дроппер, загружаемый с фишинговых сайтов, стилизованных под известные финансовые платформы.

Распространение охватывает Северную Америку, Европу, Азию и Ближний Восток, что свидетельствует о глобальном масштабе операции. При активации вредонос отображает фальшивые формы входа в мобильные приложения. Пользователь вводит данные, полагая, что взаимодействует с настоящим интерфейсом, тогда как информация мгновенно передаётся на управляющий сервер злоумышленников.

Функциональность TsarBot выходит далеко за пределы простого фишинга. Он способен управлять заражённым устройством удалённо, записывать экран, имитировать действия пользователя (такие как свайпы и нажатия) и скрывать активность путём наложения чёрного экрана. Троян также использует методику подмены экрана блокировки, чтобы перехватывать PIN-коды и пароли.

Обмен данными с командным сервером осуществляется по WebSocket-соединениям через несколько портов. Это обеспечивает не только передачу украденной информации, но и управление действиями трояна в режиме реального времени. Сервер может отдавать команды для управления интерфейсом, выполнения жестов и взаимодействия с приложениями, установленными на устройстве.

Список целей формируется динамически: TsarBot получает перечень пакетов приложений с сервера. В него входят банковские клиенты из Индии, Франции, Польши и Австралии, криптовалютные кошельки и даже соцсети. При запуске одного из таких приложений запускается фальшивая страница, визуально идентичная оригинальной, и пользователь передаёт свои данные прямо в руки атакующих.

Особую опасность представляет тот факт, что троян использует службы специальных возможностей Android для получения расширенных прав. Это позволяет ему незаметно управлять устройством и выполнять мошеннические действия, минуя защитные механизмы системы.

Появление TsarBot перекликается с другим вредоносом, о котором мы писали буквально сегодня утром — банковским трояном Crocodilus. Эта угроза , затронувшая в основном Испанию и Турцию, так же применяет фейковые наложения, чтобы перехватывать учётные данные пользователей, однако дополнительно обладает возможностью записи экрана и создания скриншотов даже в защищённых приложениях.

На фоне таких угроз специалисты по кибербезопасности советуют загружать приложения только из официальных источников, избегать подозрительных ссылок, активировать защиту Google Play Protect и регулярно обновлять систему безопасности. Эти меры могут существенно снизить вероятность заражения подобными троянами.

Появление TsarBot и Crocodilus подтверждает рост технической сложности мобильных вредоносов и подчёркивает необходимость усиленного внимания к защите персональных данных в мобильной среде.