POZOR! Zákerný RAT DroidBot malvér sa ukrýva v týchto aplikáciách. Môže ti vybieliť bankový účet!

Bezpečnostní experti sledujú evolúciu zákerného RAT malvéru DroidBot, ktorý útočí po celom svete.

POZOR-aktualna-tema_titulka
Zdroj: Vosveteit.sk

Bezpečnostní experti z Cleafy objavili nový Android RAT malvér DroidBot. Ide o trójskeho koňa, ktorý umožňuje kyberzločincom vzdialený prístup do infikovaného zariadenia.  

Od ostatných Remote Access Trojan malvérov sa DroidBot líši tým, že kombinuje dve hackerské taktiky, skrytý VNC a overlay útok. K tomu sa vyznačuje vlastnosťami, ktoré sa typicky spájajú so spywarom. Malvér obsahuje keylogger, teda softvér na čítanie stlačení klávesnice a niekoľko monitorovacích rutín. Tie hackerom dovoľujú zachytiť komunikáciu na infikovanom zariadení. Túto ukradnutú komunikáciu následne hackeri využijú na ukradnutie prihlasovacích údajov.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

“Počas našej analýzy sme odhalili, že malvér útočil až na 77 vybraných cieľov. Medzi nimi sa nachádzali bankové inštitúcie, inštitúcie venujúce sa kryptomenám, národné organizácie a ďalšie. Z toho jasne vyplýva, že RAT malvér DroidBot má naozaj široký záber. Hackerov, ktorí majú prsty v tomto malvéri sme vystopovali až do Turecka,” hovoria bezpečnostní experti.

Na vzostupe sú bankové trójske kone
Zdroj: Pixabay (geralt), pngegg.com, Úprava: Vosveteit.sk

Hlbšia analýza ukázala, že DroidBot funguje systémom Malvér-ako-služba. Ide o spôsob distribúcie, pri ktorom skúsenejší hackeri vyvinú malvér a starajú sa oňho, pričom ho prenajímajú menej technicky zdatným zločincom, ktorí vykonávajú samotné útoky. Momentálne používa malvér približne 17 odlišných skupín. Niektoré medzi sebou komunikujú na rovnakých MQTT serveroch. To naznačuje, že aspoň niektorí aktéri spolupracujú na rovnakom cieli a demonštrujú schopnosti malvéru.  

Demonštrácie ukazujú, že malvér DroidBot sa môže stále nachádzať vo fáze aktívneho vývoja. Niektoré jeho funkcie existujú ako placeholder, teda kód s nimi spojený ešte nie je poriadne implementovaný a teda tieto funkcie ešte nepracujú. Iné funkcie sa zvyknú obmieňať medzi odhalenými vzorkami malvéru. Ide o metódy na zakrytie svojej činnosti, kontrola sandbox prostredia, či viacstupňové rozbaľovanie malvéru.  

Meniace sa funkcie môžu naznačovať, že hackeri skúšajú rôzne prístupy a snažia sa vytvoriť malvér, ktorý by bol funkcionalitami čo najlepší. Druhou verziou je, že hackerské skupiny pracujú na viacerých verziách malvéru súčasne, pričom každý variant RAT malvéru DroidBot bude na mieru šitý rôznym prostrediam.  

Aj napriek tomu, že je malvér ešte vo vývoji, DroidBot už teraz cerí zuby a úspešne napáda zariadenia po celom svete. Objavujú sa aj náznaky toho, že chcú kyberzločinci expandovať do ďalších krajín.  

“Pokročilé špionážne funkcie, dvojkanálova komunikácia a obšírny zoznam cieľov ukazujú sofistikovanosť tohto škodlivého softvéru, ktorú ešte viac potvrdzuje aktívna MaaS (Malware-as-a-Service – Malvér-ako-služba) infraštruktúra. Tento RAT malvér predstavuje eskalujúcu hrozbu pre finančné inštitúcie a vládne sektory jednotlivých krajín. S vysokou pravdepodobnosťou môžeme povedať, že hackeri môžu cieliť aj na ďalšie dôležité ciele,” vysvetľujú bezpečnostní analytici.

Vypnite si tieto Android funkcie
Zdroj: Unsplash (Denny Müller), Úprava: Vosveteit.sk

Ako DroidBot funguje?  

V prvom kroku musia kyberzločinci nejak obete nalákať na stiahnutie a inštaláciu malvéru DroidBot. Hackeri používajú osvedčenú stratégiu a vydávajú sa za rôzne bezpečnostné aplikácie, Google služby, či populárne bankové aplikácie. Po stiahnutí a inštalácii si aplikácia vypýta množstvo citlivých povolení, vďaka ktorým môže vykonávať svoju škodlivú činnosť. Nižšie nájdeš zoznam podvodných aplikácií:

Falošné aplikácie Falošné aplikácie
com.arkea.android.application.cmb com.axabanque.fr
com.bancocajasocial.geolocation com.bankinter.launcher
com.bbva.bbvacontigo com.binance.dev
com.boursorama.android.clients com.caisseepargne.android.mobilebanking
com.cajasur.android com.cic_prod.bad
com.cm_prod.bad com.CredemMobile
com.fullsix.android.labanquepostale.accountaccess com.grupocajamar.wefferent
com.kraken.trade com.kubi.kucoin
com.kutxabank.android com.latuabancaperandroid
com.lynxspa.bancopopolare com.mediolanum.android.fullbanca
com.mootwin.natixis com.ocito.cdn.activity.banquelaydernier
com.ocito.cdn.activity.creditdunord com.okinc.okcoin.intl
com.okinc.okex.gp co.mona.android
com.rsi com.sella.BancaSella
com.targoes_prod.bad com.tecnocom.cajalaboral
com.unicredit com.vipera.chebanca
com.wrx.wazirx es.bancosantander.apps
es.caixagalicia.activamovil es.caixaontinyent.caixaontinyentapp
es.cecabank.ealia2103appstore es.evobanco.bancamovil
es.ibercaja.ibercajaapp es.lacaixa.mobile.android.newwapicon
es.openbank.mobile es.pibank.customers
es.santander.Criptocalculadora fr.banquepopulaire.cyberplus
fr.bred.fr fr.creditagricole.androidapp
fr.lcl.android.customerarea io.metamask
it.bcc.iccrea.mycartabcc it.bnl.apps.banking
it.carige it.copergmps.rt.pf.android.sp.bmps
it.creval.bancaperta it.icbpi.mobile
it.nogood.container it.popso.SCRIGNOapp
mobi.societegenerale.mobile.lappli net.bnpparibas.mescomptes
net.inverline.bancosabadell.officelocator.android posteitaliane.posteapp.appbpol
posteitaliane.posteapp.apppostepay www.ingdirect.nativeframe
com.garanti.cepsubesi tr.gov.turkiye.edevlet.kapisi
com.ykb.android com.ziraat.ziraatmobil
com.pttfinans com.fibabanka.Fibabanka.mobile
com.pozitron.iscep com.mobillium.papara
com.vakifbank.mobile com.ingbanktr.ingmobil
finansbank.enpara com.denizbank.mobildeniz
tr.com.sekerbilisim.mbank com.finansbank.mobile.cepsube
com.tmobtech.halkbank

Ako kradne malvér prihlasovacie údaje?

Malvér DroidBot získava prístup k prihlasovacím údajom užívateľa niekoľkými spôsobmi. Obsahuje takzvaný keylogger, ktorý dokáže čítať stlačenia klávesnice na infikovanom zariadení. Hacker teda dokáže ľahko vidieť, aké heslo  si pri prihlasovaní naťukal.  

Druhým spôsobom je takzvaný overlay útok. V rámci neho falošná aplikácia vytvorí podvodnú prihlasovaciu stránku, ktorá prekryje skutočnú prihlasovaciu stránku bankovej aplikácie. Svoje prihlasovacie údaje teda priamo zadávaš hackerom.  

RAT DroidBot zároveň dokáže monitorovať prichádzajúce SMS správy, vďaka čomu sa hackeri dokážu dostať cez viacfaktorové overenie alebo iné bezpečnostné mechanizmy.  

Bezpečnostní experti vysvetľujú, že malvér DroidBot zatiaľ “nežiari”, čo sa technického spracovania týka. Stále je vo vývoji, no už teraz dokáže predstavovať vážnu hrozbu pre užívateľov. V budúcnosti sa táto hrozba zvýši, pretože malvér môže získať ďalšie nebezpečné funkcie.  

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre