Bankový trojan Chameleon znova udrel. Vrátil sa silnejší než predtým a tentokrát cieli na špecifickú skupinu ľudí
Bezpečnostní experti si všimli, že známy bankový malvér Chameleon opäť udrel.
Bezpečnostní experti z ThreatFabric odhalili, že sa v júli tohto roku vrátil trójsky kôň Chameleon, ktorý vyčíňal po prvýkrát koncom roka 2022. Nové kampane sa vyznačujú mimoriadne zvláštnou metódou na vyhnutie sa odhaleniu.
Analytici v reporte vysvetľujú, že malvér Chameleon sa ukrýva často za aplikácie pre manažment vzťahov so zákazníkmi. To znamená, že sa tentokrát hackeri zameriavajú na reštaurácie a potenciálne aj iné sektory služieb, ktoré operujú medzinárodne. Analýza odhalila, že malvér používa názov jednej kanadskej reštaurácie, ktorá má však svoje pobočky aj v iných krajinách sveta.
Keď sa malvéru Chameleon podarí dostať do zariadenia s prístupom do bankového účtu podniku, takýto útok predstavuje obrovské riziko pre celú organizáciu. Prístup k bankovým účtom podniku majú väčšinou zamestnanci, ktorí využívajú aj CRM aplikáciu. Keďže sa trójsky kôň maskuje práve za ňu, šance na úspešný útok sa zvyšujú.
Ako prebieha útok?
Prvá fáza inštalačného procesu zahŕňa takzvaný dropper, ktorý dokáže obísť bezpečnostné funkcie operačného systému Android 13 a vyšších. Výskumníci už pri prvých analýzach malvéru tvrdili, že takáto schopnosť je dnes kriticky dôležitá pre väčšinu bankových trójskych koňov.
Po načítaní dropper ukáže užívateľovi falošnú stránku, ktorá sa javí ako prihlasovacia stránka CRM aplikácie, ktorá si žiada ID zamestnanca. Popri tom užívateľovi ukáže chybovú hlášku, v ktorej žiada o reinštalovanie aplikácie. Keď ale dá užívateľ aplikáciu “preinštalovať”, v skutočnosti sa do zariadenia stiahne bankový trójsky kôň Chameleon. Tým sa malvér dokáže dostať za prísnejšie bezpečnostné opatrenia Android 13 a vyšších.
Neprehliadni
Po inštalácii malvéru sa užívateľovi opäť zobrazí falošná webová stránka. Tentokrát si však žiada nielen zamestnanecké ID, ale aj heslo. Po zadaní prihlasovacích údajov sa opäť užívateľovi zobrazí chybová hláška. Tentokrát na nej stojí, že účet nebol aktivovaný a aby užívateľ kontaktoval HR oddelenie.
Bankový malvér Chameleon už ale beží na pozadí a kradne prihlasovacie údaje, ktoré užívateľ práve zadal. Tieto informácie môže následne využiť na ďalšie útoky alebo sa predajú na hackerských fórach.
Bankový trojan Chameleon je čoraz aktívnejší
Bezpečnostní analytici poukazujú na to, že Chameleon sa stáva čoraz aktívnejší. Okrem zamestnancov útočí aj na zákazníkov špecifických finančných inštitúcií. V tomto prípade sa bankový trójsky kôň Chameleon vydáva za falošnú bezpečnostnú aplikáciu, ktorá užívateľovi inštaluje nový bezpečnostný certifikát, ktorý jeho banka údajne vydala.
“Kyberzločinci zvyknú nájsť čoraz kreatívnejšie spôsoby, ako napadnúť väčšie ciele. V rámci novej kampane pozorujeme, že tentokrát zamierili na zamestnancov B2C podnikov a cez nich sa chcú dostať k bankovým účtom spoločností,” tvrdia bezpečnostní analytici.
Momentálne môžeme pozorovať v online svete trend, kedy viaceré bankové inštitúcie vydávajú produkty zamerané hlavne na malé a stredne veľké podniky. Tieto nástroje majú pomôcť podnikom praktickejšie narábať so svojimi financiami a častokrát majú aj mobilné aplikácie. Práve tie sú pre kyberzločincov ideálnym terčom. Práve preto treba bankové inštitúcie oboznámiť s možnými rizikami a užívateľov naučiť postupy, ako sa pred podobnými útokmi chrániť.
Chráň sa pred podobnými útokmi
Alfou a omegou by malo byť sťahovanie citlivých aplikácií len výlučne z oficiálnych obchodov s aplikáciami. Dôveryhodná banková služba nemá dôvod svoje aplikácie šíriť prostredníctvom alternatívnych obchodov. Ďalšou najčastejšou formou útoku je phishing.
Aj ty môžeš dostať správu, ktorá vyzerá ako od tvojej banky. V správe stojí, že mobilná aplikácia práve prešla dôležitou zmenou a čo najskôr by si si mal stiahnuť aktualizáciu. Ochotne ti podvodník v správe priloží aj link, cez ktorý si aplikáciu stiahneš. Podobné správy sú podvod. Opäť platí, že banky, ani iné legitímne inštitúcie nebudú rozposielať správy zákazníkom, v ktorých ich nútia na inštaláciu novej verzie svojej aplikácie cez alternatívny zdroj. Aplikácie v Obchode Play sa totiž aktualizujú buď automaticky, alebo si ich vieš aktualizovať manuálne práve cez Obchod Play.
Komentáre