4 Kampane Android Banking s trójskymi koňmi sa v roku 2021 zamerali na viac ako 300 000 zariadení

Štyri rôzne trójske kone Android banking boli šírené prostredníctvom oficiálneho Google Play Store medzi augustom a novembrom 2021, čo viedlo k viac ako 300 000 infekciám prostredníctvom rôznych aplikácií typu dropper, ktoré sa tvárili ako zdanlivo neškodné pomocné aplikácie na prevzatie plnej kontroly nad infikovanými zariadeniami.

Kybernetická bezpečnostná firma ThreatFabric, navrhnutá tak, aby poskytovala Anatsa (aka TeaBot), Alien, ERMAC a Hydra, uviedla, že malvérové ​​kampane sú nielen prepracovanejšie, ale sú tiež skonštruované tak, aby mali malú škodlivú stopu, čo efektívne zaisťuje, že užitočné zaťaženia budú nainštalované iba na smartphones zariadení z konkrétnych oblastí a zabránenie stiahnutiu malvéru počas procesu publikovania.

Po nainštalovaní môžu tieto bankové trójske kone tajne sifónovať heslá používateľov a dvojfaktorové overovacie kódy založené na SMS, stlačenia kláves, snímky obrazovky a dokonca vyčerpať bankové účty používateľov bez ich vedomia pomocou nástroja s názvom Systém automatického prevodu (ATS). Aplikácie boli odvtedy odstránené z Obchodu Play.

Zoznam škodlivých aplikácií typu dropper je uvedený nižšie –

  • Two Factor Authenticator (com.flowdivison)
  • Protection Guard (com.protectionguard.app)
  • QR CreatorScanner (com.ready.qrscanner.mix)
  • Master Scanner Live (com.multifuction.combine.qr)
  • QR Scanner 2021 (com.qr.code.generate)
  • QR skener (com.qr.barqr.scangen)
  • Skener dokumentov PDF – Skenovanie do PDF (com.xaviermuches.docscannerpro2)
  • Bezplatný skener dokumentov PDF (com.doscanner.mobile)
  • CryptoTracker (cryptolistapp.app.com.cryptotracker)
  • Tréner telocvične a fitness (com.gym.trainer.jeux)

Zatiaľ čo spoločnosť Google začiatkom tohto mesiaca zaviedla obmedzenia na obmedzenie používania povolení na prístupnosť, ktoré umožňujú škodlivým aplikáciám zachytávať citlivé informácie zo zariadení so systémom Android, prevádzkovatelia takýchto aplikácií čoraz viac zdokonaľujú svoju taktiku inými prostriedkami, aj keď sú nútení zvoliť si tradičnejší spôsob inštalácie aplikácií. cez trh s aplikáciami.

Hlavnou z techník je technika nazývaná verzovanie, pri ktorej sa najprv nahrajú čisté verzie aplikácií a škodlivé funkcie sa postupne zavádzajú vo forme následných aktualizácií aplikácií. Ďalšou taktikou je navrhovanie podobných webových stránok s príkazmi a riadením (C2), ktoré zodpovedajú téme aplikácie dropper, aby sa vyhli konvenčným metódam detekcie.

ThreatFabric objavil v Obchode Play od júna 2021 šesť kvapkadiel Anatsa, pričom aplikácie boli naprogramované tak, aby stiahli „aktualizáciu“, po ktorej používateľov vyzvali, aby jej udelili privilégiá a povolenia na inštaláciu aplikácií z neznámych zdrojov tretích strán.

Brunhilda, aktér hrozieb, ktorý bol objavený pri distribúcii trójskeho koňa na diaľku s názvom Vultur v júli 2021, využil trójske aplikácie maskujúce sa ako aplikácie na vytváranie QR kódu, aby odstránil malvér Hydra a ERMAC zameraný na používateľov v USA, na trh, na ktorý sa tieto dva malvéry predtým necielili. rodiny.

Nakoniec sa zistilo, že aplikácia na kvapkanie kondičného tréningu s viac ako 10 000 inštaláciami – nazývaná GymDrop – dodáva trójsky kôň Alien banking tým, že ho maskuje ako „nový balík cvičebných cvičení“, aj keď sa jeho údajne legitímna webová stránka pre vývojárov zdvojnásobila ako server C2. načítajte konfiguráciu potrebnú na stiahnutie škodlivého softvéru.

„Aby bolo ešte ťažšie ich odhaliť, aktéri stojaci za týmito aplikáciami na kvapkanie iba manuálne aktivujú inštaláciu bankového trójskeho koňa na infikovanom zariadení v prípade, že si želajú viac obetí v konkrétnom regióne sveta,“ uviedli vedci. “To robí z automatizovanej detekcie oveľa ťažšiu stratégiu, ktorú si môže osvojiť každá organizácia.”