Bankarski trojanac inficira Android uređaje preko SMS poruka sa linkom

Mobilni telefoni, 08.02.2022, 10:30 AM

Bankarski trojanac inficira Android uređaje preko SMS poruka sa linkom

Prema istraživanju koje je objavio ThreatFabric, dva različita Android bankarska trojanca, FluBot i Medusa, oslanjaju se na istu infrastrukturu za slanje SMS poruka sa linkom, a preklapaju se i imena aplikacija i ikona iza kojih se kriju ova dva malvera. Istraživači ThreatFabrica smatraju da su oni koji stoje iza malvera Medusa, počeli da koriste istu uslugu distribucije koja se koristi za širenje FluBota, zato što su videli koliko su uspešne FluBot kampanje.

Malver Medusa (TangleBot) nije novi malver - prvi put je otkriven u Turskoj još 2020. godine. Infekcije malverom Medusa su sada primećene i izvan granica Turske, u Evropi, Kanadi i Sjedinjenim Državama.

Malver je od tada imao nekoliko izdanja. Njegova moć leži u mogućnosti zloupotrebe dozvola za pristupačnost u Androidu koja se koristi da bi se sredstva iz aplikacija banaka prebacila na račun koji kontroliše napadač.

Ali Medusa ima i druge opasne funkcije kao što su keylogging i audio i video striming, a sve ove mogućnosti “obezbeđuju napadačima skoro pun pristup uređaju žrtve“, rekli su istraživači.

ThreatFabric je uspeo da dobije pristup administrativnom panelu malvera i otkrio da njegovi operateri mogu da uređuju bilo koje polje u bilo kojoj bankarskoj aplikaciji koja radi na uređaju. Ova funkcija omogućava malveru da cilja skoro svaku bankarsku platformu sa lažnim fišing obrascima za prijavu da bi ukrao akreditive.

Aplikacije u kojima je sakrivena Medusa, ali i FluBot, su lažne aplikacije DHL, Purolator, Flash Player, Amazon Locker, Video Player i Android Update. Ove aplikacije instaliraju same žrtve, koje dobijaju SMS poruku sa linkom koji vodi do sajta sa kojeg će, ako budu prevarene, preuzeti zlonamernu Android aplikaciju.

Kada je reč o FluBotu (Cabassous), on je dobio nadogradnju - mogućnost da presretne i manipuliše obaveštenjima iz ciljanih aplikacija na Android uređaju žrtve korišćenjem mogućnosti direktnog odgovora, uz automatsko odgovaranje na poruke iz aplikacija poput WhatsAppa. Na taj način se ovaj bankarski trojanac širi kao kompjuterski crv.

“Sa ovom funkcionalnošću, ovaj malver je u stanju da pruži odgovore na obaveštenja o ciljanim aplikacijama na uređaju žrtve“, rekli su istraživači, dodajući da tu funkcionalnost napadači „mogu da koriste za potpisivanje lažnih transakcija u ime žrtve“.

Ovo nije prvi put da je otkriveno da se Android malver širi preko automatskih odgovora na poruke u WhatsAppu. Prošle godine, ESET i Check Point Research otkrili su lažne aplikacije koje su predstavljane kao Huawei Mobile i Netflix, koje su koristile isti način rada za izvođenje napada.

Sve više sajber kriminalaca prati uspeh FluBota u taktici distribucije, prisvajajući tehnike maskiranja i koristeći istu uslugu distribucije, rekli su istraživači.

Da biste sprečili infekciju uređaja ovakvim malverima, linkove koje dobijate od vaših kontakata uvek tretirajte kao nepouzdane, jer kao što ste mogli zaključiti iz gore navedenog, može ih poslati i malver sa uređaja vama poznate osobe. Sve i da pogrešite, i kliknete na link, nikada ne preuzimajte aplikacije sa nepoznatih sajtova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Analitičari malvera iz kompanije Trend Micro pronašli su u Google Play prodavnici više od 200 Android aplikacija u kojima je sakriven špijunski ma... Dalje

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Bluetooth, NFC i UWB ostaju uključeni čak i kada je iPhone isključen, što bi moglo omogućiti napadačima da pokrenu prethodno učitani malver. H... Dalje

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google planira da ukloni skoro 900.000 „napuštenih" aplikacija iz Google Play prodavnice. Zbog nedavne promene smernica Play prodavnice, Androi... Dalje

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Sve veći broj korisnika Google Chromea za Android u Rusiji prijavljuje greške kada pokušaju da instaliraju najnovije ažuriranje za Googleov veb p... Dalje

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google je najavio da će dodati novu funkciju Chromeovom sistemu automatskog popunjavanja pod nazivom Virtuelni brojevi kartica, koja će vam omoguc... Dalje