Bankarski maliciozni softver je vrsta zlonamjernog softvera koji cilja finansijske institucije i njihove klijente.
Sve je više zlonamjernog softvera za Android bankarstvo, koji iskorištava ranjivosti u Android operativnom sistemu za krađu osjetljivih korisničkih podataka.
Cleafyjev tim za Threat Intelligence nedavno je otkrio novi Android bankarski maliciozni softver nazvan “TrickMo”, za koji je otkriveno da aktivno napada korisnike kako bi ukrali kredencijale za prijavu.
Maliciozni softver za Android bankarstvo TrickMo
TrickMo je nova varijanta Android bankovnog zlonamjernog softvera koji je izveden iz njegovog prethodnika, TrickBot-a .
Umjesto tradicionalnih kodera, koristi sofisticirane tehnike anti-analize kao što su pokvarene zip datoteke, jsonpacker i dropper aplikacije, između ostalih tehnologija, kako bi se izbjeglo otkrivanje.
Distribucija ovog zlonamjernog softvera se vrši upotrebom kapalice koja je prikrivena kao “Google Chrome” i koristi usluge pristupačnosti Androida za odobravanje administrativnih kontrola.
.webp)
Nakon instalacije, maliciozni softver TrickMo može uhvatiti jednokratne lozinke za usluge internetskog bankarstva, snimiti ekrane, evidentirati pritiske tipki i iskoristiti daljinski pristup zaraženim uređajima.
Uključuje se u razmjenu podataka sa C2 serverom koristeći post metodu i šalje informacije o uređaju kao JSON na /c krajnju tačku i prima komande, navodi Cleanfly izvještaj .
TrickMo koristi konfiguraciju Clickera (clicker.json) za automatizaciju radnji putem usluge pristupačnosti, ciljajući i sistemske i uslužne aplikacije.
Njegove mogućnosti uključuju presretanje SMS-a, preuzimanje fotografija, snimanje ekrana, daljinski pristup i HTML napade preklapanja za krađu akreditiva.
Maliciozni softver može promijeniti zadanu SMS aplikaciju, preuzeti liste instaliranih aplikacija i izvršiti klikove i pokrete na uređaju.
Utvrđeno je da TrickMo-ov C2 server sadrži podatke koji su eksfiltrirani, uključujući logove, kredencijale i fotografije, ali nema nikakvu autentifikaciju, jer izlaže žrtve višestrukim prijetnjama.
TrickMo je prvi otkrio i prijavio CERT-Bund 2019. Oni uglavnom ciljaju na bankarske aplikacije u Evropi, uzimajući u obzir uglavnom njemački jezik kao što se vidi u specifičnim jezičkim postavkama u datoteci Clicker.json.
Analiza naziva paketa instalatera u oblaku (dreammes.ross431.in) ili načina na koji se raspakuje (com.turkey.inner.Uactortrust) ističe veoma napredne metode koje se koriste za skrivanje, kao i za zaštitu zlonamjernog softvera.
Hak se dogodio jer je Command and Control (C2) server bio loše konfigurisan što je dovelo do curenja 12 GB podataka o žrtvama.
.webp)
Neke od kritičnih krajnjih tačaka C2 servera otkrile su IP adrese narušenih uređaja, evidencije operacija i HTML dokumente koji se koriste za preklapanje za napade na bankovne i kripto valutne platforme.
Takođe je uključivao CSV fajlove koji sadrže ukradena korisnička imena i lozinke, kao i ZIP fajlove koji su sadržali slike snimljene sa hakovanih uređaja.
Ovo curenje, posebno, ne samo da razotkriva taktičku grešku kreatora TrickMo infrastrukture, već i povećava vjerovatnoću da se ovo curenje dodatno iskoristi.
Hakeri mogu koristiti ove informacije da se prijave na nečiji račun, počine krađu identiteta i izvedu visoko ciljane phishing napade .
Informacije koje se objavljuju uključuju i površinu napada i moguće izvore fizičkog napada, što sugeriše da bi trebalo preduzeti sveobuhvatne mere ka unapređenju sistema bezbednosti podataka kako bi se takve pojave sprečile u budućnosti.
Izvor: CyberSecurityNews
