Online priestorom sa šíri nový bankový trójsky kôň SoumniBot: Pozor, je zákerný, varujú experti!
Malvér SoumniBot používa nie až tak používané techniky na vyhnutie sa odhaleniu.
Bezpečnostní experti objavili nový druh bankového trójskeho koňa SoumniBot, ktorý využíva nie tak úplne bežné techniky na to, aby sa vyhol odhaleniu, informuje portál Securelist (Kaspersky).
Väčšina malvérov využíva metódy na to, aby sa vyhli odhaleniu užívateľmi, antivírovými programami alebo inými bezpečnostnými funkciami. Na to kyberzločinci používajú takzvaný dropper, na prvý pohľad neškodný softvér, ktorého úlohou je jediné, stiahnuť do zariadenia škodlivý kód. Medzi najpoužívanejšie droppery patrí napríklad Badpack alebo Hqwar.
V prípade týchto dropperov sa do zariadenia pašuje najčastejšie spyware alebo bankové trojany. Nový trójsky kôň SoumniBot využíva na utajenie svojej existencie špeciálnu taktiku, zahmlievanie Android manifestu.
Každá APK aplikácia je v podstate komprimovaný ZIP súbor, ktorý obsahuje AndroidManifest.xml. Ide o súbor, ktorý ukrýva informácie o komponentoch, povoleniach a ďalších dátach aplikácie. Operačnému systému Android pomáhajú tieto súbory získať informácie o rôznych vstupných bodoch aplikácií.
Malvér SoumniBot využíva niekoľko techník, ktoré súbor AndroidManifest zahmlievajú. Keď sa však bankový trójsky kôň spustí, vyžiada si konfiguráciu s dvoma parametrami zo serveru útočníka. Oba parametre sú dôležité na to, aby mohol malvér správne fungovať. Bezpečnostní experti zistili, že oba parametre sú serverové adresy.
Neprehliadnite
Ako funguje SoumniBot?
Mainsite server dostáva dáta, ktoré sa podarilo trójskemu koňovi získať. Parameter mqtt zas poskytuje funkciu pre získavanie príkazov. Ak zdrojový server malvéru nedokáže tieto parametre poskytnúť, neznamená to, že malvér nebude fungovať. Namiesto toho falošná aplikácia použije predvolené parametre, ktoré má v sebe uložené.
Keď malvér SoumniBot dostane tieto parametre, falošná aplikácia začína so svojou škodlivou činnosťou. Bezpečnostní experti postrehli, že ak sa z nejakého dôvodu nespustí alebo zamrzne, trójsky kôň sa pokúsi o opätovné zapnutie každých 16 minút. Po prvom spustení falošná aplikácia skrýva svoju ikonu, aby obetiam skomplikovala jej odinštalovanie.
Po spustení malvér odosiela dáta na server útočníka každých 15 sekúnd. Posielané dáta obsahujú IP adresu obete, krajinu, SMS a MMS správy, zoznam kontaktov a účtov a ID obete. Malvér mimo iné kradne aj dáta, ktoré sa používajú pri prihlasovaní sa do bankových aplikácií alebo pri potvrdzovaní transakcií. Bezpečnostní experti vysvetľujú, že tieto funkcie sa neobjavujú vo svete bankových trójskych koňov často.
Ako sme spomenuli na začiatku, SoumniBot využíva sofistikované techniky na to, aby sa vyhol odhaleniu. Aj napriek tomu sa bezpečnostným expertom podarilo malvér zachytiť a už ho aj klasifikujú. Ako prvým sa to podarilo expertom z tímu Kaspersky.
Bezpečnostní experti vysvetľujú, že hackeri sa pokúšajú maximalizovať počet infikovaných zariadení bez toho, aby niekto ich činnosť odhalil. Na to potrebujú vyvíjať novšie a prešpekulovanejšie techniky, čo sa malvéru SoumniBot podarilo. Zároveň veria, že tieto techniky si do budúcna požičajú aj iné malvéry.
Komentáre