Vi har upptäckt banktrojaner som riktar sig till malaysiska användare. Angripare distribuerar dem under sken av mobilappbutiker. Samtidigt, till skillnad från många andra, har dessa bankirer inte bara ikoner och butiksnamn, utan imiterar också den fullständiga driften av sådana program för att se mer trovärdiga ut och inte väcka onödiga misstankar. Dessa trojaner stjäl inloggningar och lösenord från konton i fjärrbanksystem, samt avlyssnar SMS med engångskoder för banktransaktionsbekräftelse. Dessutom stjäl de offrens personliga information, inklusive födelsedatum, mobiltelefonnummer och personligt ID-kortsnummer.
Cyberkriminella använder olika metoder för att dölja skadlig programvara för Android, och i synnerhet banktrojaner. En av dem är skapandet av falska eller modifieringar av riktiga bankapplikationer, som sedan distribueras under sken av original. Inklusive via tredjepartswebbplatser. Ägare av mobila enheter hör dock regelbundet varningar från experter om att de bara ska ladda ner en mobilbank från officiella programvarukataloger eller direkt från ett kreditinstituts webbplats. Dessutom, när de blir mer erfarna användare, uppmärksammar de oftare tecken som kan ge ut en falsk (ovanligt gränssnitt, grammatiska eller grafiska fel i programmets design, frånvaron av vissa funktioner, etc.). Därför, eftersom Android-enhetsägare blir mer läskunniga när det gäller informationssäkerhet, kan sådana metoder förlora sin effektivitet.
Ett annat sätt är att "gömma" en banktrojan där potentiella offer för en attack minst förväntar sig en fångst. Till exempel i program som inte är relaterade till banker, men på ett eller annat sätt är av intresse för användarna. Dessa kan vara en mängd olika applikationer: för kommunikation i sociala nätverk, arbete med dokument, tillgång till onlinebiografer och många andra. Detta är tillvägagångssättet av skaparna av skadlig programvara Android.Banker.5097 och Android.Banker.5098 som våra virusanalytiker upptäckte.
Dessa banktrojaner distribueras under sken av mobila shoppingappar som heter Olivia Beauty, 44 Speed Mart, Eco Queen och Pinky Cat, som var och en är tillägnad en separat kategori av varor: mat, kosmetika, hushållsartiklar, barn och djur .
Angriparna satsar på att användarna blir mer vana vid moderna trender i den digitala ekonomin och den växande populariteten för konceptet "Service - Application". Det vill säga till det faktum att många företag, onlinebutiker och ibland även samhällen i sociala nätverk har sina egna mobilprogram. På grund av mindre medvetenhet om den potentiella faran och underskattning av risker tenderar ägare av mobila enheter att ladda ner sådana applikationer även från okända webbplatser. Och eftersom huvudfunktionen för en onlinebutik är att ge möjlighet att köpa varor och tjänster, är det mer sannolikt att potentiella offer avslöjar bankkortsuppgifter och annan konfidentiell information till ett sådant program. Detta är vad virusskrivare använder.
Android.Banker.5097 och Android.Banker.5098 riktar sig till malaysiska användare. De distribueras via skadliga webbplatser med standardtekniker för social ingenjörskonst. Så potentiella offer som besöker dem erbjuds att ladda ner applikationen för en viss butik i Google Play eller AppGallery-katalogen. Faktum är att APK-filerna laddas ner direkt från själva webbplatserna, och kända kataloger listas bara för att vilseleda användare. För att installera nedladdningsbara trojaner måste användare tillåta lämplig åtgärd i inställningarna för sina mobila enheter.
Dessa trojaner ser faktiskt ut som riktiga appbutiker vid första anblicken. De tillhandahåller en lista över produkter som användaren kan utforska, lägga till i kundvagnen och försöka köpa. Detta är dock bara en gimmick, och de har egentligen ingen riktig funktionalitet. Samtidigt, för större attraktionskraft, erbjuder programmen att köpa varor till en rabatt på 49% till 95%.
När du försöker köpa varor som lagts till i kundvagnen, uppmanas det potentiella offret att tillhandahålla personuppgifter som påstås vara nödvändiga för leverans av beställningen. Informationen inkluderar kundens namn, bostadsadress, telefonnummer, ID-kortsnummer och i vissa modifieringar, ytterligare ett födelsedatum. När data har specificerats överförs den till en fjärrserver.Trojanerna erbjuder sig sedan att välja en bank för betalning. När du väljer en av dem laddas ett nätfiskeformulär från kontrollservern, skapat i stil med motsvarande kreditinstitut. Den innehåller fält för att ange inloggning och lösenord från kontot för fjärrbanktjänstsystemet. Vid tidpunkten för analysen hade servern förberett formulär för att attackera kunder hos följande kreditinstitut:
Maybank
HLB Connect
CIMB-gruppen
Public Bank Berhad
Affin Bank
BSN (Bank Simpanan National)
Bank Islam
AmBank
Alliance Bank
Men med tiden ändras och fyllas på med nya mål.
Efter att användaren "auktoriserat" i bankens system genom ett sådant falskt formulär, ser han ett felmeddelande, och i detta skede är "köp"-processen slutförd. Faktum är att den angivna informationen skickas till angriparna, varefter de kan logga in på det stulna kontot på offrets vägnar och få tillgång till kontohantering.
För att kringgå tvåfaktorsautentiseringssystemet, och för att offret för cyberbrottslingar inte ska misstänka olagliga handlingar i förväg, tillhandahåller dessa banktrojaner möjligheten att avlyssna SMS-meddelanden med engångskoder. Samtidigt implementeras denna funktionalitet i Android.Banker.5097 och Android.Banker.5098 med olika metoder. Till exempel använder trojanen Android.Banker.5097 ett specialiserat ramverk baserat på JavaScript, medan Android.Banker.5098 använder ett plugin för Flutter-ramverket.
Med hjälp av dessa skadliga applikationer stjäl alltså cyberbrottslingar inte bara den data som behövs för att komma åt bankkonton, utan också värdefull personlig information som senare kan användas i nya attacker eller säljas på den svarta marknaden.
bbabo.ℵet