Банковские трояны научились обходить защиту Android 6.0

Новые варианты Bankosy и Cepsohord используют два способа обхода механизмов защиты последних версий Android.

Банковские трояны научились обходить защиту Android 6.0

Банковские трояны научились обходить защиту Android 6.0

Ключевую роль в мобильных банковских троянах играет способность определять, какое приложение в настоящее время запущено на устройстве. Идентифицировав программу, вредонос отображает соответствующую ей фишинговую страницу, выманивая у жертвы данные банковской карты. С выходом Android 5.0 Lollipop и Android 6.0 Marshmallow компания Google отказалась от getRunningTasks() API, позволяющего определять открытые приложения, и банковские трояны наподобие Bankosy оказались бесполезными.

Как сообщают эксперты Symantec, несмотря на предпринимаемые Google меры по усилению безопасности своей ОС, злоумышленники не отстают и продолжают совершенствовать вредоносное ПО. По словам исследователей, новые варианты банковских троянов Bankosy и Cepsohord используют два способа обхода механизмов защиты последних версий Android. Один из них предполагает получение от пользователя специального разрешения, однако второй не требует никаких дополнительных разрешений.

Первый способ позволяет определить запущенную задачу, используя представленный в Android 5.0 интерфейс программирования приложений UsageStatsManager. С помощью этого API вредоносное ПО получает статистические данные об открытых приложениях за последние две секунды и вычисляет самую последнюю активность.

Для использования UsageStatsManager вредонос запрашивает у пользователя доступ на системном уровне «android.permission.PACKAGE_USAGE_STATS». Поскольку разрешение может быть получено только через приложение «Настройки», троян использует социальную инженерию с целью заставить пользователя предоставить доступ. Вредонос запрашивает разрешение, отображая иконку и название браузера Chrome.

Второй способ заключается в использовании опубликованного на GitHub популярного проекта с исходным кодом для определения открытого на устройстве приложения. Сам по себе он не является вредоносным, однако злоумышленники используют его в преступных целях. Проект позволяет читать данные файловой системы «/proc/» для вычисления запущенных процессов и определения открытого приложения. Как сообщают эксперты Symantec, данный способ не будет работать с выходом следующей версии ОС от Google, известной как Android N.