Bankarski trojanac inficira Android uređaje preko SMS poruka sa linkom

Mobilni telefoni, 08.02.2022, 10:30 AM

Bankarski trojanac inficira Android uređaje preko SMS poruka sa linkom

Prema istraživanju koje je objavio ThreatFabric, dva različita Android bankarska trojanca, FluBot i Medusa, oslanjaju se na istu infrastrukturu za slanje SMS poruka sa linkom, a preklapaju se i imena aplikacija i ikona iza kojih se kriju ova dva malvera. Istraživači ThreatFabrica smatraju da su oni koji stoje iza malvera Medusa, počeli da koriste istu uslugu distribucije koja se koristi za širenje FluBota, zato što su videli koliko su uspešne FluBot kampanje.

Malver Medusa (TangleBot) nije novi malver - prvi put je otkriven u Turskoj još 2020. godine. Infekcije malverom Medusa su sada primećene i izvan granica Turske, u Evropi, Kanadi i Sjedinjenim Državama.

Malver je od tada imao nekoliko izdanja. Njegova moć leži u mogućnosti zloupotrebe dozvola za pristupačnost u Androidu koja se koristi da bi se sredstva iz aplikacija banaka prebacila na račun koji kontroliše napadač.

Ali Medusa ima i druge opasne funkcije kao što su keylogging i audio i video striming, a sve ove mogućnosti “obezbeđuju napadačima skoro pun pristup uređaju žrtve“, rekli su istraživači.

ThreatFabric je uspeo da dobije pristup administrativnom panelu malvera i otkrio da njegovi operateri mogu da uređuju bilo koje polje u bilo kojoj bankarskoj aplikaciji koja radi na uređaju. Ova funkcija omogućava malveru da cilja skoro svaku bankarsku platformu sa lažnim fišing obrascima za prijavu da bi ukrao akreditive.

Aplikacije u kojima je sakrivena Medusa, ali i FluBot, su lažne aplikacije DHL, Purolator, Flash Player, Amazon Locker, Video Player i Android Update. Ove aplikacije instaliraju same žrtve, koje dobijaju SMS poruku sa linkom koji vodi do sajta sa kojeg će, ako budu prevarene, preuzeti zlonamernu Android aplikaciju.

Kada je reč o FluBotu (Cabassous), on je dobio nadogradnju - mogućnost da presretne i manipuliše obaveštenjima iz ciljanih aplikacija na Android uređaju žrtve korišćenjem mogućnosti direktnog odgovora, uz automatsko odgovaranje na poruke iz aplikacija poput WhatsAppa. Na taj način se ovaj bankarski trojanac širi kao kompjuterski crv.

“Sa ovom funkcionalnošću, ovaj malver je u stanju da pruži odgovore na obaveštenja o ciljanim aplikacijama na uređaju žrtve“, rekli su istraživači, dodajući da tu funkcionalnost napadači „mogu da koriste za potpisivanje lažnih transakcija u ime žrtve“.

Ovo nije prvi put da je otkriveno da se Android malver širi preko automatskih odgovora na poruke u WhatsAppu. Prošle godine, ESET i Check Point Research otkrili su lažne aplikacije koje su predstavljane kao Huawei Mobile i Netflix, koje su koristile isti način rada za izvođenje napada.

Sve više sajber kriminalaca prati uspeh FluBota u taktici distribucije, prisvajajući tehnike maskiranja i koristeći istu uslugu distribucije, rekli su istraživači.

Da biste sprečili infekciju uređaja ovakvim malverima, linkove koje dobijate od vaših kontakata uvek tretirajte kao nepouzdane, jer kao što ste mogli zaključiti iz gore navedenog, može ih poslati i malver sa uređaja vama poznate osobe. Sve i da pogrešite, i kliknete na link, nikada ne preuzimajte aplikacije sa nepoznatih sajtova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažne YouTube aplikacije kriju malver Capra RAT koji špijunira korisnike zaraženih uređaja

Lažne YouTube aplikacije kriju malver Capra RAT koji špijunira korisnike zaraženih uređaja

Istraživači iz SentinelLabsa primetili su tri Android aplikacije koje imitiraju Googleovu YouTube aplikaciju. Analiza aplikacija je otkrila da je u ... Dalje

Skype za mobilne uređaje otkriva IP adresu korisnika, ali se Microsoftu ne žuri da reši ovaj problem

Skype za mobilne uređaje otkriva IP adresu korisnika, ali se Microsoftu ne žuri da reši ovaj problem

Slanjem linka, hakeri mogu doći do IP adrese korisnika aplikacije Skype i tako otkriti gde se korisnik nalazi. Korisnik aplikacije ne mora da klikne ... Dalje

Na Google Play i Samsung Galaxy Store pronađene trojanizovane verzije popularnih aplikacija Signal i Telegram

Na Google Play i Samsung Galaxy Store pronađene trojanizovane verzije popularnih aplikacija Signal i Telegram

U Google Play prodavnici i Samsung Galaxy Store pronađene su trojanizovane aplikacije Signal i Telegram u kojima je sakriven špijunski softver (spyw... Dalje

Više od 3000 Android aplikacija koristi ovaj trik da bi izbegle otkrivanje

Više od 3000 Android aplikacija koristi ovaj trik da bi izbegle otkrivanje

Istraživači iz kompanije Zimperium upozorili su da sajber kriminalci koriste APK fajlove sa nepoznatim ili nepodržanim metodama kompresije da bi iz... Dalje

Hakeri mogu lažirati režim rada u avionu na iPhoneu

Hakeri mogu lažirati režim rada u avionu na iPhoneu

Istraživači bezbednosti iz Jamf Threat Labsa demonstrirali su napad na iOS 16 kojim je moguće prevariti korisnike iPhonea da poveruju da je njihov... Dalje