Bankarski trojanac Gozi2 koristi Gmail za infekciju Androida trojancem Marcher
Opisi virusa, 13.12.2016, 01:30 AM

Bezbednosni istraživači Bad Cyber Labsa upozorili su na novi način infekcije Android uređaja preko inficiranih računara.
Prva faza infekcije je ona u kojoj dolazi do infekcije računara bankarskim trojancem ISFB (poznatog i pod nazivom Gozi2), dok druga faza infekcije je faza infekcije Android uređaja bankarskim trojancem Marcher.
Do infekcije trojancem ISFB dolazi kada korisnik otvori fajl u prilogu spam emaila. Ove emailove navodno šalje poljsko ministarstvo finansija. Fajl u emailovima ima dve ekstenzije, npr. .PDF.EXE.
Otvaranje ovog fajla instalira trojanca ISFB na računaru korisnika. ISFB se oslanja na "web inject" tehniku za ubacivanje dodatnog sadržaja u sajtove. Većina ovih web sajtova su portali banaka, sa kojih oni koje stoje iza ISFB trojanca žele da prikupe korisnička imena i lozinke.
Međutim, nova verzija ISFB trojanca koristi "web inject" tehniku u Gmailu.
Na taj način ISFB u iskačućem prozoru traži od korisnika njegov broj telefona da bi mu poslao verziju aplikacije Google Authenticator Code, kojom će zaštititi svoj Gmail nalog.
Ako korisnik nasedne na ovo, a postoji mogućnost da se to desi, on dobija SMS poruku na svoj telefon, sa skraćenim Goo.gl linkom koji vodi do Android aplikacije koje nema u Google Play prodavnici.
Pre nego što je Google uklonio ovaj link, više od 100 korisnika je kliknulo na njega, mada to ne znači da su svi oni instalirali aplikaciju. Podrazumevana podešavanja Androida su takva da se sprečava instalacija aplikacija sa alternativnih marketa.
Ako korisnik ne mari mnogo za bezbednost i ako je isključio ovu opciju, može se desiti da instalira malver Marcher, jedan od najnaprednijih bankarskih trojanaca današnjice.
ISFB trojanac na računaru detektuje infekciju Android smart telefona i nastavlja sa prevarom, tražeći od žrtve da unese šestocifreni kod koji je dobila preko aplikacije. Ovo se dešava zbog toga što žrtvu treba uveriti da je instalirala validnu aplikaciju a ne malver.
"Izgleda da su sigurnosni mehanizmi koje su implementirale banke, a naročito detekcija web injecta, postali takva prepreka za kriminalce koji su morali da pronađu nove načine da prinude korisnike da instaliraju mobilni malver", kažu istraživači. Oni dodaju da maliciozna mobilna aplikacija ne krade bankarske akreditive, već to radi njegov saučesnik na laptopu. Međutim, ona koristi mogućnost krađe podataka o kreditnoj kartici korisnika preko aplikacije koja prekriva aplikacije Google Play, Gmail ili Paypal.
Istraživači kažu i da je Marcherom inficirana aplikacija konfigurisana tako da izbegava korisnike iz bivšeg SSSR-a, osim korisnike iz Gruzije i tri baltičke zemlje.
U ovom trenutku ISFV i Macher ciljaju uglavnom poljske i nemačke korisnike.

Izdvojeno
Sa ChatGPT napravljen polimorfni malver

Istraživač HYAS instituta i stručnjak za sajber bezbednost, Džef Sims, razvio je novi malver koji pokreće ChatGPT pod nazivom Blackmamba. U janu... Dalje
Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje
BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje
Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje
Opasni ransomware Clop sada inficira i Linux sisteme
.jpg)
Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje
Pratite nas
Nagrade