Pozor na SMS, ktorá ti sľubuje antivírový program: Dostaneš malvér, ktorý ti vybieli účet a vymaže smartfón
Bezpečnostní analytici varujú pred RAT malvérom BingoMod, ktorý ti vykradne účet priamo cez tvoj smartfón.
Ešte v máji tohto roku pozorovali bezpečnostní experti z Cleafy RAT trójskeho koňa. Išlo o malvér, ktorý umožňoval útočníkom získať vzdialený prístup k zariadeniu, no prvotná analýza expertov nepriniesla dostatočné množstvo informácií na klasifikáciu tohto malvéru. Výskumníci sa preto rozhodli pomenovať tento malvér “BingoMod” a pokračovali v jeho sledovaní.
V novej správe vysvetľujú, že BingoMod sa radí k novej generácii moderných RAT (Remote Access Trojan) malvéru. Kyberzločinci vďaka nemu dokážu prevziať účty obete a vykonať aj takzvaný On Device Fraud, teda podvod priamo v zariadení užívateľa. Týmito funkciami sa podobá na iné moderné bankové trójske kone, napríklad malvér Medusa, Copybara alebo Teabot.
Po vykonaní podvodu vymaže celé zariadenie
Techniky využívané malvérom BingoMod majú niekoľko výhod. Od útočníkov sa nevyžaduje až tak veľa skúseností s programovaním a môžu svoje pôsobenie prispôsobiť na akúkoľvek banku. K tomu vedia obísť niekoľko behaviorálnych opatrení, ktoré uplatňujú niektoré banky alebo iné finančné inštitúcie.
Má to však aj iné nevýhody. Spôsob, akým malvér BingoMod operuje, si vyžaduje živého operátora, ktorý musí iniciovať a autorizovať prenos peňazí. Táto metóda operácie výrazne znižuje škálu, v akej dokáže malvér pôsobiť.
“BingoMod sa podobá na operačný model malvéru Brata tým, že po úspešnom podvodnom presune peňazí vymaže celé zariadenie. Tento samodeštrukčný mechanizmus bol navrhnutý na to, aby útočníci zahladili akékoľvek stopy, ktoré mohol malvér BingoMod po sebe zanechať. To sťažuje bezpečnostným analytikom forenznú analýzu malvéru a zároveň sťažuje identifikovať počet prípadov, kedy tento malvér vyčíňal,” píšu bezpečnostní experti.
Jedným dychom dodávajú, že takýto modus operandi je vo sfére Android malvéru pomerne vzácny. Naznačuje to zároveň aj to, že kyberzločinci stojaci za vývojom malvéru BingoMod môžu vedieť o metódach, ktoré používa malvér Brata. S najväčšou pravdepodobnosťou sa inšpirovali a následne zakomponovali takúto metodológiu aj do svojho softvéru.
Neprehliadni
Analýza malvéru BingoMod zároveň ukázala, že tento malvér je stále v rannej fáze svojho vývoja. Je teda náročné s istotou povedať, akým smerom sa jeho vývojári ďalej vydajú. Hoci nemožno zatiaľ hovoriť o dodatočných funkciách malvéru BingoMod, analytici postrehli, že už teraz vývojári dbajú na to, aby zakryli činnosť tohto škodlivého softvéru. To naznačuje, že v budúcnosti by mohli útočiť skôr oportunisticky, než cielene, ako to robí napríklad malvér SharkBot alebo Gustuff.
Ako malvér BingoMod útočí?
Bezpečnostní experti vysvetľujú, že malvér BingoMod sa šíri prostredníctvom falošnej aplikácie, ktorú kyberzločinci distribuujú pomocou smishingu, teda podvodných správ. Spravidla ide o falošnú aplikáciu vydávajúcu sa za antivírový program. Po inštalácii falošná aplikácia vyžaduje prístup k Nastaveniam dostupnosti, cez ktoré malvér získa prístup k citlivým komponentom smartfónu.
Keď užívateľ toto povolenie udelí, aplikácia sa na zariadení rozbalí a nainštaluje malvér. Po dokončení tejto operácie aplikácia vymkne obeť útoku od hlavnej obrazovky, kým malvér BingoMod zozbiera informácie o zariadení a založí komunikáciu s hackerským command and control serverom.
Po prvotných nastaveniach začína malvér zbierať citlivé informácie. K prihlasovacím údajom sa dostáva pomocou keyloggingu, teda zaznamenávania stlačení klávesnice. Popri tom malvér monitoruje aj SMS správy pre získanie dodatočných citlivých údajov.
Keď získa všetky potrebné informácie, potom prechádza malvér BingoMod na svoj primárny cieľ, ktorým je vykonanie presunu peňazí priamo na napadnutom zariadení. K tomu mu pomáha viac ako 40 funkcií, ktoré môžu kyberzločinci vykonať na diaľku. Po úspešnom vykonaní podvodu dokáže malvér jedným príkazom vymazať zariadenie obete, čím po sebe vymaže aj všetky stopy.
Hoci bezpečnostní experti považujú malvér BingoMod za pomerne priamočiary, nič to nemení na tom, že ide o nebezpečný malvér, ktorý môže ohroziť aj tvoj účet. Stále platí, aby si si dával dobrý pozor hlavne na nevyžiadane správy, ktoré ti ponúkajú rôzne aktualizácie alebo bezpečnostné aplikácie.
Komentáre