Киберпреступники начали маскировать банковские трояны под процедуры KYC (Know Your Customer — проверка личности клиента). Новая схема использует доверие к банковским требованиям и уже применяется в реальных атаках через мессенджеры.
Исследователи CYFIRMA описали вредоносное ПО под названием KYCShadow. Оно распространяется через ссылки в WhatsApp и предлагает «обновить данные» или «пройти проверку KYC». После установки пользователь фактически сам передаёт доступ к своим банковским данным.
Приложение выглядит как обычный банковский сервис для подтверждения личности. Интерфейс копирует легитимные формы KYC, включая ввод документов, номера телефона и одноразовых кодов.
Внутри скрыта двухэтапная загрузка:
-
сначала устанавливается «дроппер» — промежуточный загрузчик,
-
затем он подтягивает основной вредоносный модуль.
После активации троян получает доступ к устройству и перехватывает логины и пароли, OTP-коды из SMS, данные банковских приложений.
Атака построена на социальной инженерии. Пользователь сам вводит данные, считая процесс официальной банковской проверкой.
KYCShadow использует типичные механики мобильных банковских троянов:
-
перехват экранов и ввода данных,
-
доступ к SMS для кражи кодов,
-
удалённое управление устройством.
Похожие техники встречаются и в других семействах Android-малвари: вредонос внедряется через поддельные приложения или ссылки, после чего получает расширенные права и крадёт данные в фоновом режиме.
Основная волна атак зафиксирована в Индии, но сама схема универсальна и не привязана к конкретной стране. Распространение идёт через мессенджеры и сторонние APK-файлы, что делает атаку масштабируемой. Подобные кампании уже ранее охватывали десятки банков и финансовых сервисов по всему миру, используя фальшивые приложения и ссылки. Атака показывает сдвиг в тактике: злоумышленники перестают «ломать» приложения и начинают встраиваться в легальные пользовательские сценарии.
Мобильный банкинг остаётся основной целью злоумышленников. По данным отраслевых отчётов, число атак на финансовые приложения продолжает расти, а смартфон стал ключевой точкой доступа к деньгам. Эксперты отмечают, что современные трояны всё чаще имитируют реальные процессы, а не просто подделывают интерфейсы приложений.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
