POZOR! Zákerný RAT DroidBot malvér sa ukrýva v týchto aplikáciách. Môže ti vybieliť bankový účet!
Bezpečnostní experti sledujú evolúciu zákerného RAT malvéru DroidBot, ktorý útočí po celom svete.
Bezpečnostní experti z Cleafy objavili nový Android RAT malvér DroidBot. Ide o trójskeho koňa, ktorý umožňuje kyberzločincom vzdialený prístup do infikovaného zariadenia.
Od ostatných Remote Access Trojan malvérov sa DroidBot líši tým, že kombinuje dve hackerské taktiky, skrytý VNC a overlay útok. K tomu sa vyznačuje vlastnosťami, ktoré sa typicky spájajú so spywarom. Malvér obsahuje keylogger, teda softvér na čítanie stlačení klávesnice a niekoľko monitorovacích rutín. Tie hackerom dovoľujú zachytiť komunikáciu na infikovanom zariadení. Túto ukradnutú komunikáciu následne hackeri využijú na ukradnutie prihlasovacích údajov.
“Počas našej analýzy sme odhalili, že malvér útočil až na 77 vybraných cieľov. Medzi nimi sa nachádzali bankové inštitúcie, inštitúcie venujúce sa kryptomenám, národné organizácie a ďalšie. Z toho jasne vyplýva, že RAT malvér DroidBot má naozaj široký záber. Hackerov, ktorí majú prsty v tomto malvéri sme vystopovali až do Turecka,” hovoria bezpečnostní experti.
Hlbšia analýza ukázala, že DroidBot funguje systémom Malvér-ako-služba. Ide o spôsob distribúcie, pri ktorom skúsenejší hackeri vyvinú malvér a starajú sa oňho, pričom ho prenajímajú menej technicky zdatným zločincom, ktorí vykonávajú samotné útoky. Momentálne používa malvér približne 17 odlišných skupín. Niektoré medzi sebou komunikujú na rovnakých MQTT serveroch. To naznačuje, že aspoň niektorí aktéri spolupracujú na rovnakom cieli a demonštrujú schopnosti malvéru.
Demonštrácie ukazujú, že malvér DroidBot sa môže stále nachádzať vo fáze aktívneho vývoja. Niektoré jeho funkcie existujú ako placeholder, teda kód s nimi spojený ešte nie je poriadne implementovaný a teda tieto funkcie ešte nepracujú. Iné funkcie sa zvyknú obmieňať medzi odhalenými vzorkami malvéru. Ide o metódy na zakrytie svojej činnosti, kontrola sandbox prostredia, či viacstupňové rozbaľovanie malvéru.
Meniace sa funkcie môžu naznačovať, že hackeri skúšajú rôzne prístupy a snažia sa vytvoriť malvér, ktorý by bol funkcionalitami čo najlepší. Druhou verziou je, že hackerské skupiny pracujú na viacerých verziách malvéru súčasne, pričom každý variant RAT malvéru DroidBot bude na mieru šitý rôznym prostrediam.
Neprehliadni
Aj napriek tomu, že je malvér ešte vo vývoji, DroidBot už teraz cerí zuby a úspešne napáda zariadenia po celom svete. Objavujú sa aj náznaky toho, že chcú kyberzločinci expandovať do ďalších krajín.
“Pokročilé špionážne funkcie, dvojkanálova komunikácia a obšírny zoznam cieľov ukazujú sofistikovanosť tohto škodlivého softvéru, ktorú ešte viac potvrdzuje aktívna MaaS (Malware-as-a-Service – Malvér-ako-služba) infraštruktúra. Tento RAT malvér predstavuje eskalujúcu hrozbu pre finančné inštitúcie a vládne sektory jednotlivých krajín. S vysokou pravdepodobnosťou môžeme povedať, že hackeri môžu cieliť aj na ďalšie dôležité ciele,” vysvetľujú bezpečnostní analytici.
Ako DroidBot funguje?
V prvom kroku musia kyberzločinci nejak obete nalákať na stiahnutie a inštaláciu malvéru DroidBot. Hackeri používajú osvedčenú stratégiu a vydávajú sa za rôzne bezpečnostné aplikácie, Google služby, či populárne bankové aplikácie. Po stiahnutí a inštalácii si aplikácia vypýta množstvo citlivých povolení, vďaka ktorým môže vykonávať svoju škodlivú činnosť. Nižšie nájdeš zoznam podvodných aplikácií:
Falošné aplikácie | Falošné aplikácie |
---|---|
com.arkea.android.application.cmb | com.axabanque.fr |
com.bancocajasocial.geolocation | com.bankinter.launcher |
com.bbva.bbvacontigo | com.binance.dev |
com.boursorama.android.clients | com.caisseepargne.android.mobilebanking |
com.cajasur.android | com.cic_prod.bad |
com.cm_prod.bad | com.CredemMobile |
com.fullsix.android.labanquepostale.accountaccess | com.grupocajamar.wefferent |
com.kraken.trade | com.kubi.kucoin |
com.kutxabank.android | com.latuabancaperandroid |
com.lynxspa.bancopopolare | com.mediolanum.android.fullbanca |
com.mootwin.natixis | com.ocito.cdn.activity.banquelaydernier |
com.ocito.cdn.activity.creditdunord | com.okinc.okcoin.intl |
com.okinc.okex.gp | co.mona.android |
com.rsi | com.sella.BancaSella |
com.targoes_prod.bad | com.tecnocom.cajalaboral |
com.unicredit | com.vipera.chebanca |
com.wrx.wazirx | es.bancosantander.apps |
es.caixagalicia.activamovil | es.caixaontinyent.caixaontinyentapp |
es.cecabank.ealia2103appstore | es.evobanco.bancamovil |
es.ibercaja.ibercajaapp | es.lacaixa.mobile.android.newwapicon |
es.openbank.mobile | es.pibank.customers |
es.santander.Criptocalculadora | fr.banquepopulaire.cyberplus |
fr.bred.fr | fr.creditagricole.androidapp |
fr.lcl.android.customerarea | io.metamask |
it.bcc.iccrea.mycartabcc | it.bnl.apps.banking |
it.carige | it.copergmps.rt.pf.android.sp.bmps |
it.creval.bancaperta | it.icbpi.mobile |
it.nogood.container | it.popso.SCRIGNOapp |
mobi.societegenerale.mobile.lappli | net.bnpparibas.mescomptes |
net.inverline.bancosabadell.officelocator.android | posteitaliane.posteapp.appbpol |
posteitaliane.posteapp.apppostepay | www.ingdirect.nativeframe |
com.garanti.cepsubesi | tr.gov.turkiye.edevlet.kapisi |
com.ykb.android | com.ziraat.ziraatmobil |
com.pttfinans | com.fibabanka.Fibabanka.mobile |
com.pozitron.iscep | com.mobillium.papara |
com.vakifbank.mobile | com.ingbanktr.ingmobil |
finansbank.enpara | com.denizbank.mobildeniz |
tr.com.sekerbilisim.mbank | com.finansbank.mobile.cepsube |
com.tmobtech.halkbank |
Ako kradne malvér prihlasovacie údaje?
Malvér DroidBot získava prístup k prihlasovacím údajom užívateľa niekoľkými spôsobmi. Obsahuje takzvaný keylogger, ktorý dokáže čítať stlačenia klávesnice na infikovanom zariadení. Hacker teda dokáže ľahko vidieť, aké heslo si pri prihlasovaní naťukal.
Druhým spôsobom je takzvaný overlay útok. V rámci neho falošná aplikácia vytvorí podvodnú prihlasovaciu stránku, ktorá prekryje skutočnú prihlasovaciu stránku bankovej aplikácie. Svoje prihlasovacie údaje teda priamo zadávaš hackerom.
RAT DroidBot zároveň dokáže monitorovať prichádzajúce SMS správy, vďaka čomu sa hackeri dokážu dostať cez viacfaktorové overenie alebo iné bezpečnostné mechanizmy.
Bezpečnostní experti vysvetľujú, že malvér DroidBot zatiaľ “nežiari”, čo sa technického spracovania týka. Stále je vo vývoji, no už teraz dokáže predstavovať vážnu hrozbu pre užívateľov. V budúcnosti sa táto hrozba zvýši, pretože malvér môže získať ďalšie nebezpečné funkcie.
Komentáre