Nový trojan BingoMod pre Android ti dokáže vybieliť bankový účet. Môže sa ti poľahky dostať do smartfónu
Bezpečnostní experti pozorujú nový malvér BingoMod, ktorý útočí na Android a kradne obetiam peniaze. Takto to robí.
Bezpečnostní experti z Cleafy odhalili koncom mája nový Remote Access Trojan, ktorý sa šíri platformou Android. Ide o trójsky kôň, ktorý útočníkom umožňuje vzdialený prístup.
Malvér bezpečnostní analytici označili ako BingoMod, podľa jedného zo základných komponentov malvéru, ktorý má rovnaký názov. Vysvetľujú, že malvér sa radí do rodiny moderných RAT malvérov, ktoré dokážu ukradnúť užívateľom účty priamo v jeho smartfóne. Po ukradnutí účtov môžu vykonávať rôzne typy podvodov.
Podobní modus operandi výskumníci pozorujú v prípade niekoľkých bankových trójskych koňov, napríklad Medusa, Capybara alebo Teabot. Techniky, ktoré používa malvér BingoMod sú “lepšie”, minimálne pre hackerov. Vyžadujú si menej skúseností pri vývoji, dokážu rozšíriť pôsobnosť na akúkoľvek banku alebo finančnú službu a dokážu obísť bezpečnostné opatrenia, ktoré majú bankové aplikácie proti podobným druhom útokov.
Výhody malvéru však vyvažuje jedna veľká nevýhoda. Na uskutočnenie finančného podvodu sa vyžaduje, aby ho spustil samotný kyberzločinec. Keďže toto nemôže prebiehať automaticky, malvér útočí v oveľa menšej škále.
BingoMod pracuje podobne ako malvér Brata v tom, že po uskutočnení finančného podvodu malvér vymaže zariadenie, čím po sebe zahladí všetky stopy.
Neprehliadni
“Táto metóda je vo sfére Android malvéru vzácna. Z toho nám vychádza, že autori malvéru BingoMod musia vedieť o tom, ako operuje malvér Brata a mohli sa ním inšpirovať,” tvrdia výskumníci.
Malvér je v ranných štádiách vývoja
Ďalšiu zaujímavú vec, ktorú si bezpečnostní analytici všimli, je to, že BingoMod je ešte v rannej fáze vývoja. Aj preto je ťažké predpovedať, akou cestou sa malvér vydá. Bezpečnostní analytici si ale všímajú, že sa kyberzločinci pokúšajú implementovať rôzne metódy na vyhnutie sa odhaleniu. To môže naznačovať, že sa chcú vydať viac oportunistickejšou cestou, než cestou, ktorá je špecificky prispôsobená jednej metóde útoku.
BingoMod sa šíri prostredníctvom falošnej aplikácie, ktorá sa do zariadenia dostáva pomocou smishingu, teda podvodných SMS správ. Po inštalácii aplikácia vyžaduje prístup k nastaveniam dostupnosti. Keď obeť tieto povolenia udelí, aplikácia sa začína rozbaľovať a inštaluje do smartfónu malvér. Po ukončení tohto procesu aplikácia vymkne užívateľa z hlavnej obrazovky a začne zbierať informácie o zariadení a pripája sa na C2 servery hackerov.
Následne malvér začína zbierať citlivé informácie, primárne prostredníctvom monitorovania klávesnice a SMS správ. Hlavným cieľom malvéru BingoMod je ale uskutočniť prevod peňazí priamo na zariadení obete. Na to malvér vytvára podmienky pre vzdialenú kontrolu.
Dokopy má BingoMod približne 40 funkcií ovládania na diaľku.
“BingoMod malvér má relatívne priamočiare funkcionality, ktoré vídame vo väčšine moderných RAT malvéroch. Dokáže čítať a manipulovať komunikáciu, prostredníctvom ktorej získava citlivé údaje na prelomenie bankových aplikácií,” tvrdia výskumníci.
Kyberzločinci nemajú skúsenosti
Dôraz na zakrytie svojej činnosti a použité rozbaľovacie metódy naznačujú, že autori malvéru nemajú až také veľké skúsenosti, ako niektorí ostrieľanejší hackeri. Vidieť to aj z minimalistického prístupu k navrhovaniu funkcionalít malvéru. Zároveň je možné aj to, že hackeri chceli rýchlo vytvoriť funkčný škodlivý softvér, pričom zanedbali komplexnosť.
Bezpečnostných analytikov zaujalo hlavne to, že malvér po úspešnom podvode vymaže celé zariadenie obete. Niečo také sa vo sfére Android malvéru nevidí často, no bezpečnostní analytici to pozorovali v prípade malvéru Brata. Neznamená to ale, že tieto dva malvéry sú príbuzné.
Experti sa domnievajú, že v prípade malvéru BingoMod ide o skratku k čo najľahšiemu úniku. Aj to pridáva k tomu, že kyberzločinci hľadali pri vývoji malvéru čo najpriamočiarejšiu a najefektívnejšiu metódu, ako dosiahnuť svoje ciele. Dodávajú, že v porovnaní s hrozbami ako Sharkbot je malvér BingoMod primitívnejší a “má ešte čo dobiehať”.
Aby mohol malvér vykonať podvodný bankový prevod, potrebuje mať živého operátora, ktorý v reálnom čase manipuluje obeť na zariadení. Tento prístup môže hackerom robiť problém, ak by chceli útočiť vo väčšom.
Komentáre