Malver Toddler prazni bankovne račune korisnika Android telefona

Mobilni telefoni, 20.07.2021, 09:30 AM

Novi malver za Android širi se po Evropi. Malver nazvan Toddler prvi put je primećen u januaru ove godine. Trojanac kojeg su otkrili istraživači iz frime Cleafy, iako je još uvek u fazi razvoja, korišćen je u napadima na korisnike 60 evropskih banaka.

Prošlog meseca proizvođač antivirusa Bitdefender je objavio da su Španija i Italija žarišta infekcija, mada su na meti takođe i banke u Velikoj Britaniji, Francuskoj, Belgiji, Australiji i Holandiji. U Španiji su ovim malverom do sada zaražena najmanje 7632 mobilna uređaja.

Istraživači su na serveru koji koriste sajber kriminalci pronašli podatke za prijavu na račune više od 1000 korisnika banaka.

Vektori infekcije se razlikuju. Iako trojanac do sada nije pronađen u Google Play prodavnici, primećeno je da su brojni legitimni veb sajtovi kompromitovani i iskorišćeni za distribuciju malvera Toddler.

Iako je Toddler konfigurisan da cilja korisnike „desetina“ banaka širom Evrope, 100% do sada otkrivenih infekcija su infekcije uređaja korisnika samo 18 banaka. Šta više, 90% inficiranih su korisnici pet banaka što ukazuje na uspešnu fišing kampanju koja se oslanja na SMS.

Toddler ima sve funkcije koje biste očekivali od ove vrste malvera: mogućnost krađe podataka, uključujući podatke o bankovnim računima, keylogging, pravljenje snimaka ekrana, presretanje kodova za dvofaktorsku potvrdu identiteta (2FA), presretanje SMS-a i povezivanje sa C2 serverom napadača radi prenosa informacija, prihvatanje naredbi i povezivanje zaraženog uređaja sa botnet mrežom.

Trojanac će koristiti tzv. “overlay” napade da bi žrtve prevario da predaju svoje podatke za prijavu na bankovne račune prikazujući lažne ekrane za prijavljivanje. Nakon instalacije, malver nadgleda koje se aplikacije otvaraju, a kada se ciljna aplikacija pokrene, napad sa prekrivanjem aplikacije lažnim prozorom započinje.

„Toddler sa svog servera preuzima posebno napravljenu stranicu za prijavu za otvorenu ciljnu aplikaciju“, kažu istraživači iz firme PRODAFT koji su svoja saznanja o malveru podelili sa ZDNetom. „Preuzeta stranica se zatim postavlja preko ciljne aplikacije. Korisnik ništa ne sumnja jer se ovo dešava gotovo istog trenutka kada se legitimna aplikacija otvori.“

Malver će takođe pokušati da ukrade i druge podatke, poput onih koji se koriste za pristup novčanicima kriptovaluta.

Spisak naredbi C2 uključuje aktiviranje ekrana zaraženog uređaja, podnošenje zahteva za dozvolu, promenu nivoa jačine zvuka, preuzimanje kodova iz Google Authenticatora pomoću usluge pristupačnosti Androida i deinstaliranje aplikacija.

Toddler ima više mehanizama pomoću kojih opstaje na uređaju, od kojih je najznačajniji sprečavanje ponovnog pokretanja zaraženog uređaja zloupotrebom funkcija pristupačnosti.

Toddler takođe može sprečiti upotrebu slušalice u bezbednom režimu.

„Uklanjanje malvera sa uređaja zahteva ogromnu tehničku stručnost a izgleda da taj proces ni u budućnosti neće biti lakši“, upozorili su istraživači.