Μια εξελιγμένη τραπεζική απειλή Android έχει εμφανιστεί στο τοπίο των απειλών, θέτοντας σοβαρούς κινδύνους για τους χρήστες κινητών συσκευών σε ορισμένες περιοχές.
Το κακόβουλο λογισμικό, γνωστό ως deVixor, αντιπροσωπεύει μια σημαντική εξέλιξη στις επιθέσεις που βασίζονται σε Android, συνδυάζοντας κλοπή οικονομικών δεδομένων, έλεγχο συσκευών και εκβιασμό σε μια ενιαία πλατφόρμα.
Από τον Οκτώβριο του 2025, οι ερευνητές ασφαλείας έχουν εντοπίσει περισσότερα από 700 δείγματα αυτής της απειλής, υποδεικνύοντας μια ενεργή και συνεχή εκστρατεία που συνεχίζει να αναπτύσσει νέες δυνατότητες.
Η deVixor λειτουργεί μέσω μιας καλά συντονισμένης στρατηγικής διανομής, χρησιμοποιώντας δόλιες ιστοσελίδες που υποδύονται νόμιμες εταιρείες αυτοκινήτων.
Αυτοί οι ψεύτικοι ιστότοποι προσελκύουν θύματα με μη ρεαλιστικές εκπτώσεις οχημάτων, ενθαρρύνοντάς τα να κατεβάσουν ένα κακόβουλο αρχείο APK. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό εδραιώνει τη συσκευή και ξεκινά τις κακόβουλες λειτουργίες του.
Οι φορείς απειλών διαχειρίζονται αυτήν τη λειτουργία μέσω της υποδομής που βασίζεται στο Telegram, επιτρέποντάς τους να διατηρούν κεντρικό έλεγχο και να προωθούν γρήγορα τις ενημερώσεις.
.webp.jpeg "Android Banking Malware deVixor που στοχεύει ενεργά χρήστες με δυνατότητες Ransomware")
Αυτή η προσέγγιση τους δίνει τη δυνατότητα να διαχειρίζονται εκατοντάδες μολυσμένες συσκευές ταυτόχρονα, σε καθεμία εκχωρείται ένα μοναδικό αναγνωριστικό για την παρακολούθηση και την παράδοση εντολών.
Η επίθεση λειτουργεί χρησιμοποιώντας δύο διαφορετικά συστήματα διακομιστών για επικοινωνία. Το Firebase χειρίζεται τις εισερχόμενες εντολές από τους παράγοντες απειλής, ενώ ένας ξεχωριστός διακομιστής εντολών και ελέγχου λαμβάνει κλεμμένα δεδομένα.
.webp.jpeg "Android Banking Malware deVixor που στοχεύει ενεργά χρήστες με δυνατότητες Ransomware")
Αυτή η αρχιτεκτονική διπλού διακομιστή παρέχει ευελιξία και βοηθά τους εισβολείς να διατηρήσουν λειτουργική ασφάλεια.
Αναλυτές Cyble διάσημος ότι το κακόβουλο λογισμικό παρουσιάζει σαφή στοιχεία συνεχούς ανάπτυξης, με κάθε νέα έκδοση να εισάγει βελτιωμένες δυνατότητες και εκλεπτυσμένες τεχνικές αποφυγής.
Συγκομιδή τραπεζικών διαπιστευτηρίων μέσω υποκλοπής SMS
Ο πρωταρχικός στόχος του deVixor περιλαμβάνει την κλοπή οικονομικών πληροφοριών μέσω ανάλυσης μηνυμάτων SMS. Το κακόβουλο λογισμικό σαρώνει χιλιάδες μηνύματα SMS σε μολυσμένες συσκευές, αναζητώντας περιεχόμενο που σχετίζεται με τις τράπεζες.
Χρησιμοποιεί κανονικές εκφράσεις για την εξαγωγή υπολοίπων λογαριασμών, κωδικών πρόσβασης μίας χρήσης και αριθμούς καρτών από μηνύματα που προέρχονται από ιρανικές τράπεζες και ανταλλακτήρια κρυπτονομισμάτων.
.webp.jpeg "Android Banking Malware deVixor που στοχεύει ενεργά χρήστες με δυνατότητες Ransomware")
Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα πάνω από 20 μεγάλα χρηματοπιστωτικά ιδρύματα, συμπεριλαμβανομένων των Bank Melli Iran, Bank Mellat και πολυάριθμων πλατφορμών κρυπτονομισμάτων όπως το Binance και το Ramzinex.
Ο μηχανισμός συλλογής διαπιστευτηρίων λειτουργεί μέσω της έγχυσης JavaScript που βασίζεται στο WebView. Όταν ένα θύμα λαμβάνει μια ψεύτικη τραπεζική ειδοποίηση, πατώντας την ανοίγει μια κακόβουλη σελίδα που μιμείται νόμιμες τραπεζικές διεπαφές.
Η εγχυόμενη JavaScript καταγράφει όλα όσα πληκτρολογεί ο χρήστης, συμπεριλαμβανομένων των διαπιστευτηρίων σύνδεσης και των πληροφοριών λογαριασμού, μεταδίδοντας αυτά τα δεδομένα απευθείας στους εισβολείς.
Ένα ιδιαίτερα ανησυχητικό χαρακτηριστικό περιλαμβάνει την ενσωματωμένη μονάδα ransomware. Μόλις λάβει την εντολή ransomware, το κακόβουλο λογισμικό κλειδώνει την οθόνη της συσκευής και απαιτεί πληρωμή σε κρυπτονόμισμα TRON (50 TRX).
.webp.jpeg "Android Banking Malware deVixor που στοχεύει ενεργά χρήστες με δυνατότητες Ransomware")
Το μήνυμα λύτρων εμφανίζει τη διεύθυνση πορτοφολιού του εισβολέα και η συσκευή παραμένει κλειδωμένη μέχρι να ληφθεί η πληρωμή.
Στιγμιότυπα οθόνης από το κανάλι Telegram του ηθοποιού απειλής δείχνουν επιτυχημένα κλειδώματα συσκευών, υποδεικνύοντας ότι αυτή η τακτική εκβιασμού εφαρμόζεται ενεργά κατά των θυμάτων.
Η τεχνική πολυπλοκότητα του deVixor καταδεικνύει πώς το σύγχρονο τραπεζικό κακόβουλο λογισμικό Android έχει εξελιχθεί από απλούς κλέφτες διαπιστευτηρίων σε ολοκληρωμένες εγκληματικές πλατφόρμες που υποστηρίζουν πολλαπλούς φορείς επιθέσεων, επίμονη επιτήρηση και δυνατότητες οικονομικού εκβιασμού που στοχεύουν χρήστες παγκοσμίως.
