Malver Toddler prazni bankovne račune korisnika Android telefona

Mobilni telefoni, 20.07.2021, 09:30 AM

Malver Toddler prazni bankovne račune korisnika Android telefona

Novi malver za Android širi se po Evropi. Malver nazvan Toddler prvi put je primećen u januaru ove godine. Trojanac kojeg su otkrili istraživači iz frime Cleafy, iako je još uvek u fazi razvoja, korišćen je u napadima na korisnike 60 evropskih banaka.

Prošlog meseca proizvođač antivirusa Bitdefender je objavio da su Španija i Italija žarišta infekcija, mada su na meti takođe i banke u Velikoj Britaniji, Francuskoj, Belgiji, Australiji i Holandiji. U Španiji su ovim malverom do sada zaražena najmanje 7632 mobilna uređaja.

Istraživači su na serveru koji koriste sajber kriminalci pronašli podatke za prijavu na račune više od 1000 korisnika banaka.

Vektori infekcije se razlikuju. Iako trojanac do sada nije pronađen u Google Play prodavnici, primećeno je da su brojni legitimni veb sajtovi kompromitovani i iskorišćeni za distribuciju malvera Toddler.

Iako je Toddler konfigurisan da cilja korisnike „desetina“ banaka širom Evrope, 100% do sada otkrivenih infekcija su infekcije uređaja korisnika samo 18 banaka. Šta više, 90% inficiranih su korisnici pet banaka što ukazuje na uspešnu fišing kampanju koja se oslanja na SMS.

Toddler ima sve funkcije koje biste očekivali od ove vrste malvera: mogućnost krađe podataka, uključujući podatke o bankovnim računima, keylogging, pravljenje snimaka ekrana, presretanje kodova za dvofaktorsku potvrdu identiteta (2FA), presretanje SMS-a i povezivanje sa C2 serverom napadača radi prenosa informacija, prihvatanje naredbi i povezivanje zaraženog uređaja sa botnet mrežom.

Trojanac će koristiti tzv. “overlay” napade da bi žrtve prevario da predaju svoje podatke za prijavu na bankovne račune prikazujući lažne ekrane za prijavljivanje. Nakon instalacije, malver nadgleda koje se aplikacije otvaraju, a kada se ciljna aplikacija pokrene, napad sa prekrivanjem aplikacije lažnim prozorom započinje.

„Toddler sa svog servera preuzima posebno napravljenu stranicu za prijavu za otvorenu ciljnu aplikaciju“, kažu istraživači iz firme PRODAFT koji su svoja saznanja o malveru podelili sa ZDNetom. „Preuzeta stranica se zatim postavlja preko ciljne aplikacije. Korisnik ništa ne sumnja jer se ovo dešava gotovo istog trenutka kada se legitimna aplikacija otvori.“

Malver će takođe pokušati da ukrade i druge podatke, poput onih koji se koriste za pristup novčanicima kriptovaluta.

Spisak naredbi C2 uključuje aktiviranje ekrana zaraženog uređaja, podnošenje zahteva za dozvolu, promenu nivoa jačine zvuka, preuzimanje kodova iz Google Authenticatora pomoću usluge pristupačnosti Androida i deinstaliranje aplikacija.

Toddler ima više mehanizama pomoću kojih opstaje na uređaju, od kojih je najznačajniji sprečavanje ponovnog pokretanja zaraženog uređaja zloupotrebom funkcija pristupačnosti.

Toddler takođe može sprečiti upotrebu slušalice u bezbednom režimu.

„Uklanjanje malvera sa uređaja zahteva ogromnu tehničku stručnost a izgleda da taj proces ni u budućnosti neće biti lakši“, upozorili su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje