Wprowadzenie do problemu / definicja
Badacze bezpieczeństwa opisali nową falę kampanii wymierzonych w użytkowników Androida, w których wykorzystywanych jest co najmniej sześć rodzin złośliwego systemu nastawionych na kradzież środków finansowych, przejęcie urządzeń oraz wyłudzanie danych uwierzytelniających. Szczególnie niepokojące jest łączenie klasycznych funkcji trojanów bankowych z mechanizmami zdalnej administracji, nakładkami ekranowymi, przechwytywaniem obrazu oraz obchodzeniem zabezpieczeń systemowych.
W skrócie
- Nowe kampanie obejmują rodziny PixRevolution, BeatBanker, TaxiSpy RAT, Mirax, Oblivion RAT oraz SURXRAT.
- Zagrożenia koncentrują się na oszustwach finansowych, przejmowaniu płatności Pix, kradzieży danych logowania i przejęciach portfeli kryptowalut.
- Wspólnym elementem ataków jest nadużywanie usług dostępności Androida oraz stosowanie fałszywych ekranów nakładkowych.
- Coraz wyraźniej widoczna jest komercjalizacja malware mobilnego w modelu Malware-as-a-Service.
Kontekst / historia
Mobilne trojany bankowe od lat opierają się na podobnych technikach: phishingu, dystrybucji fałszywych aplikacji, zachęcaniu do instalacji pakietów APK spoza oficjalnych sklepów oraz wymuszaniu szerokich uprawnień systemowych. Obecna fala zagrożeń pokazuje jednak istotną ewolucję tych narzędzi.
Atakujący coraz częściej nie ograniczają się do przechwytywania kodów SMS czy danych logowania. Wdrażają funkcje pełnej zdalnej obsługi urządzenia, monitorowania ekranu w czasie rzeczywistym i automatyzacji działań na interfejsie użytkownika. To oznacza, iż telefon ofiary może zostać wykorzystany nie tylko do kradzieży danych, ale też do aktywnego wykonywania oszukańczych operacji finansowych.
Na uwagę zasługuje również regionalizacja kampanii. Część z nich skupia się na brazylijskim systemie natychmiastowych płatności Pix, podczas gdy inne celują w lokalne aplikacje bankowe, usługi administracyjne czy portfele kryptowalut. Operatorzy malware coraz precyzyjniej dostosowują swoje narzędzia do konkretnych rynków i nawyków użytkowników.
Analiza techniczna
PixRevolution został zaprojektowany do przejmowania przelewów Pix w momencie ich wykonywania przez ofiarę. Po instalacji malware żąda aktywacji usług dostępności, komunikuje się z serwerem sterującym, przesyła informacje o urządzeniu i uruchamia przechwytywanie ekranu z użyciem MediaProjection API. najważniejszy element ataku polega na wyświetleniu fałszywej nakładki typu WebView z komunikatem oczekiwania, podczas gdy w tle podmieniany jest klucz odbiorcy transakcji.
BeatBanker łączy możliwości trojana bankowego z funkcjami pełnego przejęcia urządzenia oraz atakami na portfele kryptowalut. W analizowanych próbkach zwrócono uwagę na nietypowy mechanizm podtrzymywania działania z wykorzystaniem niemal niesłyszalnego pliku audio odtwarzanego w pętli. Malware monitoruje parametry urządzenia, stosuje techniki antyanalityczne i wykorzystuje Firebase Cloud Messaging do komunikacji z infrastrukturą dowodzenia. W scenariuszach związanych z transferami kryptowalut tworzy nakładki dla aplikacji giełdowych i portfeli, podmieniając adresy docelowe transakcji.
TaxiSpy RAT łączy cechy zdalnego trojana dostępowego z klasycznym malware bankowym. Nadużywa usług dostępności i MediaProjection API, aby pozyskiwać SMS-y, kontakty, historię połączeń, dane ze schowka, listę aplikacji, powiadomienia oraz wpisywane znaki. Dzięki mechanizmowi nakładek może wykradać poświadczenia z aplikacji bankowych, kryptowalutowych i wybranych aplikacji administracyjnych. Dodatkowo stosuje techniki utrudniające analizę, takie jak zaciemnianie ciągów znaków i szyfrowanie bibliotek natywnych.
Mirax i Oblivion pokazują rosnącą komercjalizację mobilnych zagrożeń. Oba rozwiązania są oferowane jako gotowe pakiety lub usługi, co obniża próg wejścia dla cyberprzestępców. Mirax ma zapewniać nakładki bankowe, przechwytywanie klawiszy, kradzież SMS-ów i funkcje proxy. Oblivion z kolei koncentruje się na automatycznym nadawaniu uprawnień i obchodzeniu mechanizmów ochronnych na urządzeniach różnych producentów.
SURXRAT również działa w modelu komercyjnym i wykorzystuje uprawnienia dostępności do utrzymania trwałej kontroli nad urządzeniem. Komunikacja z infrastrukturą C2 odbywa się z użyciem usług Firebase. Część próbek zawiera także moduł przypominający screen locker ransomware, umożliwiający zdalne zablokowanie ekranu i wywieranie presji finansowej na ofierze. Interesującym elementem jest też obecność komponentu powiązanego z dużym modelem językowym, co może wskazywać na eksperymenty z automatyzacją działań malware przy wsparciu AI.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem tych kampanii jest bezpośrednia utrata środków finansowych. W systemach płatności natychmiastowych zagrożenie jest szczególnie wysokie, ponieważ transakcje realizowane są od razu, a odzyskanie pieniędzy bywa bardzo trudne lub niemożliwe.
Drugim poziomem ryzyka jest przejęcie kont bankowych, portfeli kryptowalutowych oraz danych osobowych. Informacje te mogą następnie zostać wykorzystane do dalszych oszustw, kradzieży tożsamości, obejścia procesów weryfikacyjnych lub prowadzenia kolejnych kampanii phishingowych.
Z perspektywy organizacji ryzyko wykracza poza sferę prywatną użytkownika. Zainfekowany telefon może ujawniać wiadomości służbowe, kody MFA, powiadomienia z systemów korporacyjnych, historię połączeń czy dane dostępowe do aplikacji biznesowych. W modelu BYOD incydent mobilny może więc bezpośrednio wpływać na bezpieczeństwo środowiska firmowego.
Rosnąca popularność modelu MaaS dodatkowo zwiększa skalę problemu. Im łatwiejsza staje się dystrybucja i konfiguracja takich narzędzi, tym więcej grup przestępczych może uruchamiać podobne kampanie bez zaawansowanego zaplecza technicznego.
Rekomendacje
Podstawową zasadą bezpieczeństwa pozostaje instalowanie aplikacji wyłącznie z oficjalnych sklepów i zweryfikowanych źródeł. Należy ograniczyć możliwość instalacji pakietów APK z nieznanych lokalizacji oraz wdrożyć polityki MDM lub EMM, które wymuszają zgodność urządzeń z wymaganiami bezpieczeństwa.
Szczególną uwagę trzeba zwrócić na uprawnienia. Usługi dostępności, dostęp do powiadomień, możliwość wyświetlania nad innymi aplikacjami oraz prawo do przechwytywania ekranu powinny być traktowane jako uprawnienia wysokiego ryzyka. Każda aplikacja żądająca ich bez wyraźnego uzasadnienia powinna wzbudzić podejrzenia.
W środowiskach firmowych warto wdrożyć mobilne mechanizmy detekcji zagrożeń, analizę behawioralną aplikacji oraz monitoring telemetrii związanej z usługami dostępności, FCM i nietypową komunikacją sieciową. Równie istotne są szkolenia użytkowników w zakresie rozpoznawania fałszywych sklepów z aplikacjami, phishingu mobilnego i oznak przejęcia urządzenia.
Przy operacjach finansowych i kryptowalutowych należy stosować dodatkowe procedury weryfikacyjne. Użytkownik powinien każdorazowo sprawdzać dane odbiorcy i adresy portfeli bezpośrednio przed zatwierdzeniem transakcji. W środowiskach podwyższonego ryzyka warto rozważyć separację urządzeń używanych do bankowości, portfeli kryptowalutowych i komunikacji służbowej.
Podsumowanie
Nowa fala malware na Androida pokazuje, iż urządzenia mobilne pozostają kluczowym celem dla grup nastawionych na fraud finansowy i długotrwałą kontrolę nad ofiarą. Opisane rodziny zagrożeń łączą klasyczne mechanizmy trojanów bankowych z możliwościami RAT, zdalnym sterowaniem, nakładkami ekranowymi oraz elementami automatyzacji.
Szczególnie groźne są kampanie przechwytujące płatności w czasie rzeczywistym i oferty MaaS, które przyspieszają rozprzestrzenianie zaawansowanych narzędzi przestępczych. Dla użytkowników i organizacji oznacza to konieczność ścisłej kontroli uprawnień mobilnych, monitorowania zachowań aplikacji oraz wzmacniania higieny bezpieczeństwa w całym ekosystemie urządzeń przenośnych.
Źródła
- The Hacker News — Six Android Malware Families Target Pix Payments, Banking Apps, and Crypto Wallets — https://thehackernews.com/2026/03/six-android-malware-families-target-pix.html
- Zimperium — analysis of PixRevolution and TaxiSpy samples — https://zimperium.com/
- Kaspersky Securelist — BeatBanker campaign analysis — https://securelist.com/
- CYFIRMA — TaxiSpy RAT technical research — https://www.cyfirma.com/
- Cyble — SURXRAT malware analysis — https://cyble.com/
