Операторите на мобилен зловреден софтуер като услуга подобряват играта си, като автоматично създават стотици уникални проби в промишлени мащаби.

В десетки държави по света се разпространяват около 1000 проби на мобилния банков троянец Godfather, насочени към стотици банкови приложения.

Открит за първи път през 2022 г., Godfather – който може да записва екрани и натискания на клавиши, да прихваща обаждания и съобщения за двуфакторна автентикация (2FA), да инициира банкови преводи и други – бързо се превърна в едно от най-разпространените предложения за зловреден софтуер като услуга в киберпрестъпността, особено в мобилната киберпрестъпност. Според доклада на Zimperium за 2023 г. „Mobile Banking Heists Report“ към края на миналата година Godfather е бил насочен към 237 банкови приложения, разпространени в 57 държави. Неговите филиали са ексфилтрирали откраднатата финансова информация в поне девет държави, предимно в Европа и включително в САЩ.

Целият този успех привличаше вниманието, така че, за да попречат на софтуера за сигурност да развали партито, разработчиците на Godfather автоматично генерираха нови проби за своите клиенти в почти промишлен мащаб.

Други разработчици на мобилен зловреден софтуер от целия спектър започнаха да правят същото. „Това, което виждаме, е, че кампаниите за зловреден софтуер започват да стават все по-големи и по-големи“, предупреждава Нико Чиаравильо, главен научен сътрудник в Zimperium, който ще проведе сесия за тази и други тенденции в областта на мобилния зловреден софтуер в RSAC през май.

Освен Godfather и други известни семейства, Chiaraviglio следи още по-голямо, все още неразкрито семейство мобилен зловреден софтуер с повече от 100 000 уникални проби в дивата природа. „Това е лудост“, казва той. „Досега не сме виждали такъв брой проби в един зловреден софтуер, никога. Това определено е тенденция.“

Банкови троянски коне създават стотици образци

Сигурността на мобилните устройства вече изостава значително от тази на настолните компютри. „През 90-те години на миналия век никой не използваше антивирусни програми за настолни компютри и донякъде това е положението сега. Днес само един от четирима потребители наистина използва някакъв вид мобилна защита. Двадесет и пет процента от устройствата са напълно незащитени, в сравнение с настолните компютри, при които този процент е 85″, оплаква се Чиаравильо.

Междувременно мобилните заплахи бързо се увеличават. Един от начините, по които го правят, е като генерират толкова много различни итерации, че антивирусните програми – които профилират зловредния софтуер по уникалните му сигнатури – трудно свързват една инфекция със следващата.

Помислете, че по време на първоначалното му откриване през 2022 г., според Чиаравильо, в дивата природа е имало по-малко от 10 проби на Godfather. До края на миналата година този брой се е увеличил стократно.

Разработчиците му явно са генерирали автоматично уникални проби за клиентите, за да им помогнат да избегнат откриване. „Те може просто да пишат скриптове за всичко – това би бил начин да го автоматизират. Друг начин би бил да се използват големи езикови модели, тъй като подпомагането на кода може наистина да ускори процеса на разработване“, казва Чиаравильо.

Други разработчици на банкови троянски коне са следвали същия подход, макар и в по-малък мащаб. През декември Zimperium наброява 498 проби на близкия конкурент на Godfather – Nexus, 300 проби на Saderat и 123 проби на PixPirate.

Може ли софтуерът за сигурност да бъде в крак с времето?

Решенията за сигурност, които маркират зловредния софтуер по сигнатури, ще срещнат трудности при проследяването на стотици и хиляди проби на семейство.

„Може би има много повторна употреба на кода между различните образци“, казва Чиаравильо – нещо, което той предлага адаптивните решения да използват, за да съпоставят свързания зловреден софтуер с различни сигнатури. Алтернативно, вместо самия код, защитниците могат да използват изкуствен интелект (AI), за да се фокусират върху поведението на зловредния софтуер. С модел, който може да прави това, Чиаравильо казва, че „няма значение колко ще промените кода или начина, по който изглежда приложението, ние все още ще можем да го открием“.

Но той признава, че „в същото време това винаги е състезание. Ние правим нещо [за да се приспособим], а след това нападателят прави нещо, за да се развие спрямо нашите прогнози. [Например], те могат да поискат [от голям езиков модел] да мутира кода им колкото може повече. Това би било сферата на полиморфния зловреден софтуер, който не се среща често при мобилните устройства, но може да започнем да виждаме много повече такива.“