Fyra nya familjer av Android-malware har identifierats av Zimperium zLabs, och de riktar sig mot över 800 bank- och kryptovaluta-appar världen över. Hoten kallas RecruitRat, SaferRat, Astrinox och Massiv, och de använder avancerade tekniker för att stjäla inloggningsuppgifter och fånga upp engångslösenord i realtid.

Så sprids de nya hoten

Varje malwarefamilj har sin egen spridningsmetod. RecruitRat lockar offer via falska jobbsajter, medan Astrinox döljer sig bakom ett fejkat affärsverktyg som kallas "HireX". SaferRat sprids genom klassisk phishing med falska inloggningssidor och smishing, alltså SMS som varnar om påhittade kontoproblem. Massiv är så väldold att forskarna inte ens kunde fastställa hur den sprids.

Overlay-attacker lurar även erfarna användare

Gemensamt för alla fyra är att de använder så kallade overlay-attacker. Det innebär att en falsk skärm läggs ovanpå den riktiga appen, exempelvis en bankapp eller kryptoplånbok. Användaren tror att hen loggar in som vanligt, men uppgifterna skickas direkt till angriparna. RecruitRat har ett inbyggt bibliotek med över 700 falska inloggningssidor, redo att imitera kända tjänster.

Samtidigt missbrukar dessa skadliga appar Androids Accessibility Service för att visa en frusen bild eller en falsk uppdateringsskärm. Medan användaren väntar på att "uppdateringen" ska bli klar arbetar angriparna obehindrat i bakgrunden.

SMS-baserad tvåfaktor ger falskt skydd

En av de mest oroande funktionerna är att samtliga malwarefamiljer kan fånga upp engångslösenord som skickas via SMS. Det innebär att tvåfaktorsautentisering baserad på SMS inte ger det skydd som många förlitar sig på. Utöver det kan de läsa kontakter och SMS, spela in skärmen via MediaProjection, logga varje knapptryckning och upprätthålla en konstant anslutning till angriparnas servrar via WebSocket.

Företagstelefoner i riskzonen

För svenska företag som låter anställda använda bankappar eller kryptoplånböcker på sina jobbtelefoner är risken påtaglig. Overlay-attacker är extremt svåra att upptäcka med blotta ögat, och en komprometterad telefon kan ge angripare tillgång till både företagskonton och privata tillgångar.

Så skyddar du dig och ditt företag

Ladda bara ner appar från Google Play eller andra officiella butiker. Var skeptisk mot SMS som uppmanar dig att agera snabbt, särskilt om de innehåller länkar. Granska vilka behörigheter dina appar begär och var extra vaksam om en app vill ha tillgång till Accessibility Service. Byt från SMS-baserad tvåfaktorsautentisering till en app-baserad lösning som Google Authenticator eller Microsoft Authenticator. Håll Android och alla appar uppdaterade med de senaste säkerhetskorrigeringarna.

Zimperium zLabs betonar att hotbilden mot mobila enheter fortsätter att växa, och att företag bör se mobilsäkerhet som en lika viktig del av sitt skydd som traditionell IT-säkerhet.