DeVixor: Evoluirajući Android bankarski trojanac

AUTOR ·

DeVixor se pojavio kao napredni bankarski zlonamjerni softver sposoban da kombinuje finansijsku krađu, šifrovanje ucjenjivačkog softvera i stalni nadzor uređaja u jednom zlonamjernom paketu, otkrivaju sigurnosni istraživači Cyble Research and Intelligence Lab (CRIL). Ova modularna arhitektura komande omogućava zlonamjernim akterima da orkestriraju infekcije u velikim razmjerama, zaobilazeći tradicionalne mehanizme otkrivanja.

DeVixor

DeVixor: Evoluirajući Android bankarski trojanac; Source: Bing Image Creator

DEVIXOR ANDROID RAT

Otkrivanje DeVixor, nedovoljno poznatog Android trojanca za daljinski pristup (eng. remote access trojan – RAT), pokazuje stalno mijenjajuću prirodu zlonamjernog softvera za mobilne uređaje. Ova prijetnja prevazilazi osnovnu krađu podataka za prijavu, oslanjajući se na razgranatu kriminalnu platformu sposobnu da dugoročno ugrozi uređaje.

Njegova postojanost potvrđena je aktivnom distribucijom putem lažnih internet stranica koje se predstavljaju kao legitimne automobilske kompanije. Žrtve se privlače ponudama vozila po znatno sniženim cijenama, a zatim se navode da preuzmu zlonamjerne APK datoteke koje instaliraju DeVixor na uređaj.

Glavni cilj jeste ugrožavanje korisničkih sistema kroz instalaciju zlonamjernih APK datoteka koje omogućavaju daljinski pristup. Na taj način zlonamjerni akteri prikupljaju osjetljive podatke, izvode napade na bankarske aplikacije, bilježe pritiske na tastaturi (eng. keylogging), ubacuju ucjenjivački softver i zaobilaze bezbjednosne mjere Google Play Protect sistema.

Upotreba Telegram platforme za komandovanje i kontrolu dodatno naglašava složenost DeVixor zlonamjernog softvera. Iskorištavanjem ove legitimne usluge za pozadinsku infrastrukturu, operateri šalju naredbe koje se prenose na inficirane uređaje, omogućavajući ažuriranja u stvarnom vremenu i potpunu kontrolu nad ugroženim sistemima.

Razvoj DeVixor od osnovnih prijetnji krađe podataka do naprednog trojanca za daljinski pristup (RAT) odražava širu tendenciju u evoluciji mobilnog zlonamjernog softvera. Kako Android korisnici sve više zavise od svojih uređaja za finansijske transakcije i čuvanje osjetljivih informacija, zlonamjerni akteri se prilagođavaju razvijanjem naprednijih alata sposobnih da ugroze te vrijednosti.

 

Instalacija i početno podešavanje

Proces instalacije DeVixor zlonamjernog softvera obilježen je zahtjevom za različite dozvole na uređaju žrtve. Tokom prvog podešavanja, program traži pristup SMS porukama, kontaktima i datotekama, čime stiče mogućnost prikupljanja osjetljivih podataka i uspostavljanja uporišta na ugroženom sistemu.

Priroda traženih dozvola posebno je značajna, jer obezbjeđuje privilegije potrebne za izvršavanje funkcija. Omogućavanjem pristupa SMS porukama, DeVixor može prikupljati podatke povezane s bankarstvom iz dolaznih poruka, dok dozvola za kontakte otkriva informacije o društvenim medijima i ponašanju žrtve.

U novijim varijantama uočeno je dodatno traženje dozvola za servis Pristupačnost (eng. Accessibility). Ova izmjena pokazuje kako se taktike i postupci zlonamjernog aktera razvijaju, prilagođavajući alate da bolje služe njihovim ciljevima.

 

Operativna arhitektura

Operativna arhitektura DeVixor zlonamjernog softvera zasniva se na oslanjanju na dva servera – Firebase i alternativni komandni i kontrolni (C2) sistem. Ovakva postavka omogućava da softver prima komande od zlonamjernog aktera, dok istovremeno prenosi ukradene podatke nazad u kontrolnu infrastrukturu.

Firebase, kao platforma u oblaku, služi kao primarni kanal za izdavanje komandi i komunikaciju između DeVixor softvera i njegovih operatera. Njegova upotreba u ovom kontekstu pokazuje prilagodljivost modernih komandno i kontrolnih (C2) infrastruktura, koje često koriste komercijalne usluge radi očuvanja operativne bezbjednosti i izbjegavanja otkrivanja tradicionalnim metodama obavještajnih podataka o prijetnjama.

Nasuprot tome, alternativni komandno-kontrolni (C2) server posvećen je izvlačenju podataka, što predstavlja ključnu komponentu ukupne misije DeVixor zlonamjernog softvera. Unaprijed podešeni URL olakšava prenos osjetljivih informacija sa ugroženih uređaja nazad operaterima. Prisustvo ovog sekundarnog servera naglašava značaj redundantnosti i otpornosti na kvarove u okviru savremenih arhitektura zlonamjernog softvera.

Podešavanje sa dva servera ukazuje na visok nivo razvijenosti zlonamjernih aktera, jer su uložili sredstva u izgradnju i održavanje infrastrukture sposobne da podrži složene taktike i procedure koje DeVixor zlonamjerni softver koristi. Takva investicija omogućava održavanje snažne kontrole nad aktivnostima softvera.

Oslanjanje na oba servera dodatno naglašava važnost dozvola odobrenih tokom instalacije, jer upravo one omogućavaju neometanu komunikaciju između programa, komandno-kontrolne (C2) infrastrukture i zlonamjernog aktera. Ovaj sklop dozvola, komandi i izvlačenja podataka čini osnovu za sagledavanje cjelokupnih sposobnosti DeVixor zlonamjernog softvera.

 

Prikupljanje bankarskih informacija

Prvi sloj napada zasniva se na pristupu SMS porukama, gdje softver skenira veliki broj poruka i izdvaja sadržaj vezan za banke, stanja na računima i jednokratne kôdove (eng. one-time passwords – OTP). Za prepoznavanje koristi unaprijed definisane oznake i ključne riječi, čime precizno usmjerava prikupljanje podataka.

Komandna struktura omogućava pregled do pet hiljada SMS poruka na jednom uređaju. Podaci se obrađuju kroz obrasce za pretragu teksta, pa se izdvaja stanje, kôdovi i drugi detalji. Softver provjerava da li su instalirane zvanične aplikacije banaka i te informacije dodaje u izvještaj, koji se zatim šalje u obliku urednog odgovora.

Poseban modul fokusiran je na brojeve platnih kartica. DeVixor zlonamjerni softver pretražuje poruke tražeći obrasce koji odgovaraju kartičnim brojevima, uzimajući u obzir različite načine pisanja. Potencijalni nalazi prolaze dodatne provjere, a potvrđeni brojevi se šalju zajedno sa podacima o vrsti kartice, datumu isteka i bezbjednosnom kôdu.

Treći pravac prikupljanja obuhvata poruke od kripto berzi i servisa za plaćanje. Softver prepoznaje pošiljaoce, izdvaja najnovije poruke i povezuje ih sa bankama koje su mu poznate. Na taj način dobija uvid u tokove novca, stanja i kôdove za potvrdu, pa iz jednog uređaja izvlači širok raspon finansijskih informacija.

DeVixor zlonamjerni softver ne ostaje na pasivnom čitanju poruka. Kroz modul za bankarske obavijesti formira lažna obavještenja koje izgledom podsjećaju na poruke banaka. U njima se naglašava hitnost, pa korisnik reaguje odmah. Kada otvori obavijest, prikazuje se stvarna stranica banke unutar ugrađenog prikaza, što stvara utisak da je sve u redu.

U tom okruženju softver ubacuje zlonamjerne skripte u obrasce za prijavu. Kod bilježi korisnička imena, lozinke i druge podatke koji se unose, a zatim ih neprimjetno šalje nadzornom serveru. Ovakav pristup spaja uvjerljive obavijesti sa prikazom stvarne stranice, pa korisnik teško prepoznaje prevaru.

Kombinacija pristupa SMS porukama, lažnih obavijesti i ubacivanja kôda pokazuje koliko je DeVixor zlonamjerni softver prilagodljiv u mobilnim okruženjima. Iz jednog uređaja može se izvući čitav niz podataka—stanja, istorija transakcija, kôdovi, brojevi kartica i podaci za prijavu—što otvara prostor za zloupotrebu i prodaju informacija. Ova povezana struktura čini napad izdržljivim i teško uočljivim, jer koristi stvarne kanale komunikacije i povjerenje korisnika u banke.

 

Modul ucjenjivačkog softvera

Modul ucjenjivačkog softvera u okviru DeVixor zlonamjernog softvera predstavlja funkciju koja se daljinski pokreće komandom “RANSOMWARE”. Ova komanda daje instrukciju softveru da sprovede radnje usmjerene na iznuđivanje kriptovalute od žrtava. Nakon njenog prijema, program aktivira ucjenjivački mehanizam analizom parametara koje je odredio zlonamjerni akter.

Prvi korak obuhvata izdvajanje i obradu dostavljenih podataka: poruke o otkupnini, adrese TRON novčanika i traženog iznosa. Ovi elementi se pohranjuju u datoteku LockTouch.json, koja ima ulogu trajne konfiguracije. Njena svrha je očuvanje stanja ucjenjivačkog modula i nakon ponovnog pokretanja sistema, čime se obezbjeđuje da uređaj ostane zaključan i da zlonamjerni softver nastavi rad bez prekida.

Značaj LockTouch.json datoteke ogleda se u održavanju kontinuiteta na inficiranim uređajima. Ona ne čuva samo podatke o otkupnini, već i druge ključne informacije potrebne za rad programa, poput podešavanja, ključeva za šifrovanje i parametara za dodatne funkcije. Njena trajnost tokom restartovanja naglašava ulogu u očuvanju stabilnosti zlonamjernih operacija.

Funkcionalnost ucjenjivačkog modula potvrđena je snimcima ekrana objavljenim na Telegram kanalu zlonamjernog aktera. Na njima se vidi da DeVixor zlonamjerni softver, nakon aktivacije, zaključava uređaje i prikazuje poruku: “Vaš uređaj je zaključan. Depozitirajte da biste otključali.” Uz upozorenje se navodi adresa TRON novčanika i zahtjev za uplatu 50 TRX. Ovakva poruka jasno pokazuje namjeru softvera – iznuđivanje kriptovalute prijetnjom da će žrtva izgubiti pristup uređaju ukoliko ne plati. Taktika se oslanja na psihološki pritisak i strah od gubitka podataka ili usluga.

Rad modula uključuje i slanje povratnih informacija na server za komandu i kontrolu (C&C). U njima se nalaze identifikatori uređaja i podaci o otkupnini, što zlonamjernim akterima omogućava praćenje statusa žrtve, procjenu da li je ispunila zahtjeve i prilagođavanje daljih postupaka. Komponenta zaključanog ekrana koristi pripremljene metapodatke da prikaže zastrašujuću poruku, oblikovanu radi jačeg psihološkog uticaja i jasnog prenošenja zahtjeva za uplatu.

Metapodaci o otkupnini osmišljeni su da budu alarmantni i informativni. Poruka “Vaš uređaj je zaključan. Depozitirajte da biste otključali”, uz precizan zahtjev za 50 TRX, stvara osjećaj hitnosti i naglašava kontrolu zlonamjernog aktera nad uređajem. Sadržaj poruke potvrđuje sposobnost DeVixor zlonamjernog softvera da sprovede finansijsku ucjenu, dopunjujući postojeće funkcije krađe podataka i nadzora korisnika. Ovakav višeslojni pristup pokazuje prilagodljivost programa i njegov potencijal da preraste u razvijeniji skup alata za prijetnje.

 

UTICAJ

DeVixor zlonamjerni softver utiče na finansijsku sigurnost korisnika presretanjem poruka koje sadrže jednokratne kodove (OTP), obavještenja o stanju na računima i podatke o karticama. Ovakav pristup omogućava zlonamjernom akteru da se uključi u tokove novca i preuzme kontrolu nad osjetljivim informacijama ključnim za svakodnevne transakcije. Time se direktno ugrožava povjerenje u digitalne kanale bankarskih usluga i otvara prostor za gubitke koji nastaju bez znanja korisnika.

Uticaj se širi i na privatnost, jer program prikuplja kontakte, poruke i podatke o ponašanju. Na taj način zlonamjerni akter dobija uvid u društvene medije i navike korisnika, što otvara mogućnost dodatnih zloupotreba. Daljinski pristup uređaju omogućava neprimjetan i dugotrajan nadzor, pa korisnik gubi osjećaj sigurnosti u lične komunikacije i podatke čuvane na telefonu.

Psihološki pritisak predstavlja treći sloj uticaja. Modul ucjenjivačkog softvera koristi strah od gubitka pristupa telefonu i podacima kako bi natjerao korisnika na plaćanje. Poruke o otkupnini oblikovane su da izazovu hitnost i paniku, pa žrtva reaguje pod pritiskom. Ovakav pristup pokazuje da napad djeluje i na emocionalnu stranu korisnika, što dodatno povećava štetu.

Uticaj DeVixor zlonamjernog softvera obuhvata i tehničku dimenziju, jer se oslanja na komercijalne servise u oblaku i komunikacione kanale za komandovanje i izvlačenje podataka. Time se otežava otkrivanje i prekid rada programa, dok zlonamjerni akter dobija stabilnu infrastrukturu za dugotrajno upravljanje inficiranim uređajima. Ovakva postavka omogućava da se napad održava i razvija bez obzira na promjene u okruženju.

 

ZAKLJUČAK

DeVixor zlonamjerni softver pokazuje da mobilni zlonamjerni softver više nije samo alat za krađu podataka, već se razvija u složene sisteme koji obuhvataju različite oblike napada. Njegova struktura spaja daljinski pristup, prikupljanje finansijskih informacija i zaključavanje uređaja, čime se stvara višeslojni pritisak na korisnika i dugotrajno prisustvo na telefonu.

Ovaj trojanac djeluje istovremeno na tehničkom i psihološkom nivou. Tehnički dio obuhvata presretanje poruka, lažna obavještenja i ubacivanje kôda u obrasce za prijavu, dok psihološki dio koristi strah od gubitka pristupa uređaju kako bi natjerao korisnika na plaćanje. Takva kombinacija pokazuje da napad zahvata više aspekata digitalnog života.

DeVixor zlonamjerni softver se oslanja na komercijalne servise u oblaku i komunikacione kanale za komandovanje i kontrolu, što mu daje otpornost na prekide i omogućava prikrivanje stvarne pozadine. Ovakva postavka ukazuje na ulaganje u stabilnu infrastrukturu koja podržava dugotrajne kampanje i otežava otkrivanje.

Ucjenjivački modul dodatno potvrđuje da DeVixor zlonamjerni softver prelazi granicu između krađe podataka i otvorene finansijske ucjene. Zaključavanje uređaja i zahtjev za uplatu u kriptovaluti jasno pokazuju da se napad razvija u pravcu direktnog pritiska na korisnika.

DeVixor zlonamjerni softver se izdvaja kao primjer mobilnog zlonamjernog softvera koji spaja tehničke, finansijske i psihološke elemente u jedinstven napad. Njegova prisutnost ukazuje na promjenu u načinu oblikovanja i širenja prijetnji, jer više ne djeluju izolovano, već kao dio šire kriminalne platforme sa dugotrajnim uticajem na korisnike i sisteme.

 

PREPORUKE

Napredne sajber prijetnje poput DeVixor zlonamjernog softvera predstavljaju ozbiljan rizik za Android sisteme, pa je neophodno razviti višeslojnu odbranu koja omogućava pravovremeno predviđanje i neutralisanje rizika. U nastavku slijede konkretne preporuke koje mogu značajno doprinijeti efikasnijoj zaštiti:

  1. Prilikom preuzimanja aplikacija, potrebno je uvjeriti se da dolaze iz pouzdanih izvora kao što je zvanična prodavnica aplikacija Google Play. Izbjegavati prodavnice aplikacija trećih strana ili veze primljene putem SMS poruka, društvenih medija ili elektronske pošte, koji se mogu koristiti za distribuciju aplikacija opterećenih zlonamjernim softverom.
  2. Prije instaliranja aplikacije, pažljivo pregledati njene zahteve za dozvole. Odobravati pristup osjetljivim podacima samo kada je to apsolutno neophodno za funkcionalnost aplikacije. Biti oprezan sa aplikacijama koje zahtevaju prekomjerne privilegije bez jasnog opravdanja.
  3. Redovno ažurirati Android operativne sisteme na mobilnim uređajima kako bi se obezbijedilo da imaju najnovije bezbjednosne ispravke i funkcije. Ovo pomaže u sprječavanju zloupotrebe od strane zlonamjernog softvera poput DeVixor zlonamjernog softvera, koji može ciljati poznate ranjivosti u zastarelim verzijama softvera.
  4. Koristiti provjeru identiteta u više koraka (eng. multi-factor authentication – MFA) za sve naloge finansijskih usluga kako bi se dodao dodatni sloj zaštite od neovlaštenog pristupa ili preuzimanja naloga koje olakšava zlonamjerni softver poput DeVixor zlonamjernog softvera.
  5. Redovno treba provjeravati izvode sa bankovnih računa i kreditnih kartica radi uočavanja sumnjivih transakcija, jer one mogu ukazivati na zlonamjerne aktivnosti, uključujući prevare koje se izvode pomoću DeVixor zlonamjernog softvera.
  6. Instalirati renomirani softver za mobilnu bezbjednost na uređaje radi otkrivanja i sprečavanja infekcija zlonamjernim softverom, uključujući one izazvane naprednim prijetnjama kao što je DeVixor zlonamjerni softver.
  7. Posebnu pažnju obratiti prilikom interakcije sa internet lokacijama ili aplikacijama koje prikazuju sumnjiv sadržaj, naročito ako izgledaju kao da su dizajnirane da imitiraju legitimne servise poput bankarskih platformi.
  8. Suzdržavati se od otvaranja veza primljenih putem SMS poruka, elektronske pošte ili društvenih medija, osim kada je to neophodno zbog poslovnih obaveza. Takođe, treba izbjegavati otvaranje priloga iz nepoznatih izvora, jer oni mogu sadržati zlonamjerne datoteke povezane sa DeVixor zlonamjernim softverom.
  9. Koristiti jedinstvene, složene lozinke na svim nalozima, posebno onima koji se odnose na finansijske usluge. Izbjegavati korištenje iste lozinke na više mjesta ili ponovno korištenje podataka za prijavu za različite platforme.
  10. Redovno praviti rezervne kopije važnih datoteka i kontakata sačuvanih na mobilnim uređajima, kako bi se mogli lako vratiti u slučaju bezbjednosnog incidenta ili gubitka uređaja zbog DeVixor zlonamjernog softvera.
  11. Koristiti bezbjedne komunikacione kanale kao što su aplikacije za šifrovane poruke za osjetljive razgovore koji mogu uključivati finansijske informacije ili druge povjerljive podatke koje cilja zlonamjerni softver poput DeVixor zlonamjernog softvera.
  12. Sprovesti edukaciju svih korisnika, uključujući zaposlene, o rizicima povezanim sa mobilnim prijetnjama poput DeVixor zlonamjernog softvera i obezbijediti smjernice o tome kako se zaštititi od takvih napada.
  13. Treba razviti planove odgovora na sajber prijetnje koji jasno opisuju procedure za reagovanje na bezbjednosne incidente izazvane infekcijama zlonamjernim softverom ili drugim vrstama sajber napada, uključujući one koje može omogućiti DeVixor zlonamjerni softver.
  14. Sprovoditi redovne bezbjednosne revizije i procjene rizika na mobilnim uređajima, mrežama i sistemima pomažu u otkrivanju ranjivosti koje mogu iskoristiti prijetnje, uključujući DeVixor zlonamjerni softver.
  15. Koristiti protokole za bezbjednu provjeru identiteta kao što su OAuth ili OpenID Connect za pristup platformama finansijskih usluga iz aplikacija radi sprečavanja neovlaštenog pristupa koji olakšava zlonamjerni softver poput DeVixor zlonamjernog softvera.
  16. Primjenjivati politike kontrole uređaja na mobilnim uređajima koje ograničavaju instalaciju aplikacija, posebno onih koje se odnose na bankarstvo i finansije, osim ako ih IT administratori eksplicitno ne odobre zbog zabrinutosti zbog prijetnji poput DeVixor zlonamjernog softvera.
  17. Koristiti rješenja za bezbjedno skladištenje podataka kao što su šifrovane usluge u oblaku za skladištenje osjetljivih informacija ugroženih infekcijama zlonamjernim softverom ili drugim vrstama sajber napada koje olakšavaju prijetnje slične DeVixor zlonamjernom softveru.

Zaštita od DeVixor zlonamjernog softvera zahtjeva proaktivan pristup koji uključuje budnost, svijest i primjenu robusnih mjera sajber bezbjednosti. Prateći navedene preporuke, korisnici i organizacije mogu značajno smanjiti izloženost riziku od naprednih prijetnji poput DeVixor zlonamjernog softvera i zaštititi osjetljive informacije od neovlaštenog pristupa ili zlonamjernih aktivnosti olakšanih takvim infekcijama zlonamjernim softverom.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.