Alertă de malware pentru Android: troienii bancari, spionajul DNG și frauda NFC sunt în creștere

Telefoanele Android rămân în centrul atenției și, conform celor mai recente cercetări, Perspectiva nu este tocmai calmă.. între Troieni bancari care golesc conturile, Spyware care exploatează vulnerabilități zero-day și fraude contactlessSuprafața de atac crește odată cu adoptarea digitală în Europa și Spania.

În ultimele săptămâni Au ieșit la iveală campanii și date care prezintă o imagine complexă: 239 de aplicații rău intenționate pe Google Play acumulând peste 42 de milioane de descărcări, noul troian bancar cu suprapuneri capabile să preia controlul asupra dispozitivului, un program spion numit moștenire neașteptată care se infiltrează prin Imagini DNG și o schemă de clonare card prin NFC (NGate) originar din Europa și extins în America Latină.

O imagine de ansamblu asupra creșterii numărului de programe malware mobile pe Android

Cel mai recent raport Zscaler dezvăluie că între iunie 2024 și mai 2025 Google Play a găzduit 239 de aplicații rău intenționate care a depășit 42 de milioane de instalări. Activitatea programelor malware mobile a crescut cu 67% față de anul precedent, cu o prezență specială în categoria instrumente și productivitate, unde atacatorii se deghizează în utilități aparent legitime.

Această evoluție se traduce printr-o schimbare clară a tacticii: Adware-ul reprezintă 69% din detectăriîn timp ce familia Joker scade la 23%. Pe țări, India (26%), Statele Unite (15%) și Canada (14%) conduc statisticile, dar în Europa s-a observat o scădere. creșteri notabile în Italiacu creșteri foarte accentuate de la an la an și avertismente cu privire la posibila răspândire a riscului la restul continentului.

Confruntată cu acest scenariu, Google și-a înăsprit controlul asupra ecosistemului dezvoltatorilor cu măsuri suplimentare de verificare a identității pentru publicarea pe Android. Intenția este de a ridica ștacheta de acces și trasabilitate, reducând capacitatea infractorilor cibernetici de a distribui programe malware prin intermediul magazinelor oficiale.

Pe lângă volum, sofisticarea este o preocupare: Zscaler evidențiază familii deosebit de active, printre care Anatsa (troian bancar), Android Void/Vo1d (backdoor în dispozitive cu AOSP vechi, cu peste 1,6 milioane de dispozitive afectate) și XnoticeUn RAT conceput pentru a fura credențiale și coduri 2FA. În Europa, instituțiile financiare și utilizatorii de servicii bancare mobile Acestea prezintă un risc clar.

Experții indică o trecere de la frauda clasică cu cardul de credit către plăți mobile și tehnologii sociale (phishing, smishing și schimbarea cartelelor SIM), ceea ce necesită creșterea igienei digitale a utilizatorului final și consolidarea protecției canalelor mobile ale entităților.

Android/BankBot-YNRK: Suprapuneri, accesibilitate și furt bancar

Cercetătorii Cyfirma au documentat o troian bancar pentru Android supranumit „Android/BankBot‑YNRK”, a fost conceput pentru a se da drept aplicații legitime și apoi a activa Serviciile de accesibilitate pentru obține controlul total al dispozitivului. Specialitatea sa sunt atacurile suprapuse: creează ecrane de conectare false despre aplicații bancare reale și cripto pentru capturarea acreditărilor.

Distribuția combină Joaca Store (în valuri care ocolesc filtrele) cu pagini frauduloase care oferă fișiere APK, folosind nume și titluri de pachete care imită servicii populare. Printre identificatorii tehnici detectați se numără mai mulți Hash-uri SHA-256 și se speculează că operațiunea va funcționa sub Malware-as-a-Service, ceea ce facilitează extinderea sa în diferite țări, inclusiv Spania.

Odată ajuns în interior, forțează permisiuni de accesibilitate, se adaugă ca administrator de dispozitiv și citește ce apare pe ecran. apăsați butoane virtuale și completați formulareDe asemenea, poate intercepta coduri 2FA, manipula notificări și automatizează transferuriletoate acestea fără a stârni vreo suspiciune vizibilă.

Analiștii leagă această amenințare de familia BankBot/Anubis, activă din 2016, cu multiple variante care... Acestea evoluează pentru a evita software-ul antivirus și controale în magazin. Campaniile sunt de obicei direcționate către aplicații financiare utilizate pe scară largă, ceea ce crește impactul potențial dacă nu este detectat la timp.

Pentru utilizatorii și întreprinderile din UE, recomandarea este de a consolida controale de permisiuneVerificați setările de accesibilitate și monitorizați comportamentul aplicațiilor financiare. Dacă aveți îndoieli, cel mai bine este să le dezinstalați, să scanați dispozitivul și schimbarea acreditărilor în coordonare cu entitatea.

Landfall: Spionaj silențios folosind imagini DNG și erori zero-day

O altă investigație, condusă de Unitatea 42 a Palo Alto Networks, a descoperit o spyware pentru Android denumit moștenire neașteptată care a exploatat o vulnerabilitate zero-day în biblioteca de procesare a imaginilor (libimagecodec.quram.so) pentru a executa cod atunci când decodarea fișierelor DNG. A fost de ajuns să primească imaginea prin mesaje, astfel încât atacul să poată fi efectuat fără interacțiune.

Primele indicii datează din iulie 2024, iar hotărârea a fost clasificată drept CVE-2025-21042 (cu o corecție suplimentară CVE-2025-21043 luni mai târziu). Campania a vizat cu accent deosebit Dispozitive Samsung Galaxy și a avut cel mai mare impact în Orientul Mijlociu, deși experții avertizează cu privire la cât de ușor se pot extinde aceste operațiuni din punct de vedere geografic.

Odată angajat, Extracție permisă la debarcare fotografii fără a le încărca în cloudmesaje, contacte și jurnale de apeluri, în plus față de activați microfonul pe ascunsModularitatea programului spyware și persistența acestuia timp de aproape un an fără a fi detectat subliniază salt în sofisticare care sunt date de amenințările mobile avansate.

Pentru a atenua riscul, este esențial Aplicați actualizările de securitate ale producătorului, limitați expunerea la fișierele primite de la contacte neverificate și mențineți active mecanismele de protecție a sistemului., atât în ​​terminalele de uz personal, cât și în flotele corporative.

NGate: clonare card NFC, din Republica Cehă în Brazilia

Comunitatea securității cibernetice s-a concentrat, de asemenea, asupra Poartă NGate, A Malware pentru Android conceput pentru fraudă financiară care abuzează de NFC alin copierea datelor cardului și să le emuleze pe un alt dispozitiv. În Europa Centrală (Republica Cehă) au fost documentate campanii care implică uzurparea identității băncilor locale și o evoluție ulterioară care vizează utilizatori din Brazilia.

Înșelăciunea combină smishing-ul, ingineria socială și utilizarea PWA/WebAPK și site-uri web care imită Google Play pentru a facilita instalarea. Odată ajuns în interior, ghidează victima să activeze NFC și să introducă codul PIN, interceptează schimbul de mesaje și îl transmite folosind instrumente precum NFCGate, permițând retrageri de numerar de la bancomate și plăți contactless prin POS.

Diversi furnizori Acestea detectează variante sub etichete precum Android/Spy.NGate.B și euristici Trojan-Banker.Deși nu există dovezi publice ale unor campanii active în Spania, tehnicile utilizate sunt transferabil în orice regiune cu servicii bancare contactless adoptate pe scară largă.

Cum să reduci riscul: cele mai bune practici

Înainte de instalare, acordați câteva secunde pentru a verifica editor, evaluări și dată din aplicație. Fiți atenți la cererile de permisiune care nu corespund funcției declarate. (mai ales Accesibilitate și administrare a dispozitivului).

Păstrați sistemul și aplicațiile mereu actualizatActivați Google Play Protect și efectuați scanări regulate. În mediile corporative, este recomandabil să implementați politici MDM. liste de blocuri și monitorizarea anomaliilor flotei.

Evitați descărcarea fișierelor APK din linkurile din mesajele SMS, rețelele sociale sau e-mailurile și evitați... pagini care imită Google PlayDacă o aplicație bancară îți solicită codul PIN al cardului sau îți cere să ții cardul lângă telefon, fii suspicios și consultă banca ta.

Dacă observați semne de infecție (date anormale sau consum de baterie, notificări ciudate(ecranele suprapuse), deconectați datele, dezinstalați aplicațiile suspecte, scanați dispozitivul și modificați-vă datele de autentificare. Contactați banca dacă detectați mișcări neautorizate.

În domeniul profesional, Acesta încorporează IoC-uri publicate de cercetători (domenii, hash-uri și pachete observate) către listele dvs. de blocare și coordonați răspunsul cu CSIRT-urile sectoriale pentru a reduce șiruri posibile de infectie.

Ecosistemul Android trece printr-o fază de presiune ridicată din partea criminalității cibernetice: de la aplicații rău intenționate în magazinele oficiale Acestea includ troieni bancari cu suprapuneri, programe spyware care exploatează imagini DNG și fraude NFC cu emulare de carduri. Cu actualizări actualizate, precauție în timpul instalării și monitorizare activă a permisiunilor și a tranzacțiilor bancare, este posibil să le preveniți. reduce drastic expunerea atât utilizatori individuali, cât și organizații din Spania și din restul Europei.

Articol asociat:

Cum să folosești Snapdrop ca o alternativă reală la AirDrop între Windows, Linux, Android și iPhone

Alberto navarro

Sunt un pasionat de tehnologie care și-a transformat interesele de „tocilar” într-o profesie. Mi-am petrecut mai bine de 10 ani din viața mea folosind tehnologie de ultimă oră și mânuind cu tot felul de programe din pură curiozitate. Acum m-am specializat în tehnologie computerizată și jocuri video. Asta pentru că de mai bine de 5 ani scriu pentru diverse site-uri web despre tehnologie și jocuri video, creând articole care urmăresc să-ți ofere informațiile de care ai nevoie într-un limbaj pe care oricine este pe înțeles.

Dacă aveți întrebări, cunoștințele mele variază de la tot ce ține de sistemul de operare Windows, precum și Android pentru telefoane mobile. Și angajamentul meu este față de tine, sunt mereu dispus să petrec câteva minute și să te ajut să rezolvi orice întrebări pe care le poți avea în această lume a internetului.