DeVixor Android malware
A Cyble elemzése szerint a DeVixor egy folyamatosan fejlődő, kifinomult Android-alapú banki kártevő, amely nemcsak hagyományos banki adatok lopására specializálódott, hanem ransomware képességekkel is rendelkezik, és kizárólag iráni felhasználókat céloz meg. A malware nem egyszerű, rövid távú kampány, hanem egy aktívan karbantartott, bővíthető bűnözői szolgáltatás, amely hosszú távon képes kompromittálni az eszközöket és pénzügyi visszaéléseket elősegíteni.
A DeVixor főbb jellemzői között szerepel az SMS-alapú adatgyűjtés, WebView-alapú JavaScript-injekciós támadások, valamint a teljes távoli eszközvezérlés. Ezeket a funkciókat használva a kártevő képes banki csalásokra, fiókok átvételére, pénzügyi zsarolásra és hosszútávú felhasználói megfigyelésre egy egyetlen platformon belül. A malware moduláris parancsarchitektúrája, állandó konfigurációs mechanizmusai és aktív fejlesztési ciklusa azt mutatja, hogy nem egyedi kampányról, hanem egy fenntartott és bővíthető bűnözői szolgáltatásról van szó.
A DeVixor főként iráni bankokat, fizetési szolgáltatásokat és kryptovaluta-platformokat céloz meg, ami szándékos áldozatprofilozásra és regionális specializációra utal. A kártevő terjesztése hamis weboldalakon keresztül történik, amelyek legitim autókereskedéseket utánoznak, és ártalmas APK-fájlokat osztanak meg. A malware nyelvi elemei, a Telegram-kommunikációban talált nyelvtanulmányok, valamint a perzsa nyelvű phishing-felületek is megerősítik, hogy az iráni felhasználók a fő célpontjai ennek a műveletnek.
A DeVixor képes akár 5000 SMS-üzenet átkutatására is a fertőzött eszközön, hogy banki tartalmakat, fiókegyenlegeket és egyedi jelszavakat azonosítson és eljuttasson a támadókhoz. Emellett a malware használja az Android Accessibility Service-t, hogy elkerülje a Google Play Protect védelmet, és hogy hosszútávú jelenlétet biztosítson az eszközön. A ransomware-funkciók pedig lehetővé teszik, hogy a támadók zárolják a felhasználók eszközeit, és pénzügyi zsarolásra használják fel az adatokat.
