Pratite nas preko RSS-aBankarski trojanac Gozi2 koristi Gmail za infekciju Androida trojancem Marcher
Opisi virusa, 13.12.2016, 01:30 AM
Bezbednosni istraživači Bad Cyber Labsa upozorili su na novi način infekcije Android uređaja preko inficiranih računara.
Prva faza infekcije je ona u kojoj dolazi do infekcije računara bankarskim trojancem ISFB (poznatog i pod nazivom Gozi2), dok druga faza infekcije je faza infekcije Android uređaja bankarskim trojancem Marcher.
Do infekcije trojancem ISFB dolazi kada korisnik otvori fajl u prilogu spam emaila. Ove emailove navodno šalje poljsko ministarstvo finansija. Fajl u emailovima ima dve ekstenzije, npr. .PDF.EXE.
Otvaranje ovog fajla instalira trojanca ISFB na računaru korisnika. ISFB se oslanja na "web inject" tehniku za ubacivanje dodatnog sadržaja u sajtove. Većina ovih web sajtova su portali banaka, sa kojih oni koje stoje iza ISFB trojanca žele da prikupe korisnička imena i lozinke.
Međutim, nova verzija ISFB trojanca koristi "web inject" tehniku u Gmailu.
Na taj način ISFB u iskačućem prozoru traži od korisnika njegov broj telefona da bi mu poslao verziju aplikacije Google Authenticator Code, kojom će zaštititi svoj Gmail nalog.
Ako korisnik nasedne na ovo, a postoji mogućnost da se to desi, on dobija SMS poruku na svoj telefon, sa skraćenim Goo.gl linkom koji vodi do Android aplikacije koje nema u Google Play prodavnici.
Pre nego što je Google uklonio ovaj link, više od 100 korisnika je kliknulo na njega, mada to ne znači da su svi oni instalirali aplikaciju. Podrazumevana podešavanja Androida su takva da se sprečava instalacija aplikacija sa alternativnih marketa.
Ako korisnik ne mari mnogo za bezbednost i ako je isključio ovu opciju, može se desiti da instalira malver Marcher, jedan od najnaprednijih bankarskih trojanaca današnjice.
ISFB trojanac na računaru detektuje infekciju Android smart telefona i nastavlja sa prevarom, tražeći od žrtve da unese šestocifreni kod koji je dobila preko aplikacije. Ovo se dešava zbog toga što žrtvu treba uveriti da je instalirala validnu aplikaciju a ne malver.
"Izgleda da su sigurnosni mehanizmi koje su implementirale banke, a naročito detekcija web injecta, postali takva prepreka za kriminalce koji su morali da pronađu nove načine da prinude korisnike da instaliraju mobilni malver", kažu istraživači. Oni dodaju da maliciozna mobilna aplikacija ne krade bankarske akreditive, već to radi njegov saučesnik na laptopu. Međutim, ona koristi mogućnost krađe podataka o kreditnoj kartici korisnika preko aplikacije koja prekriva aplikacije Google Play, Gmail ili Paypal.
Istraživači kažu i da je Marcherom inficirana aplikacija konfigurisana tako da izbegava korisnike iz bivšeg SSSR-a, osim korisnike iz Gruzije i tri baltičke zemlje.
U ovom trenutku ISFV i Macher ciljaju uglavnom poljske i nemačke korisnike.
Izdvojeno
Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija
Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje
Lažna Flash ažuriranja šire kriptomajner XMRig
Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje
Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila
Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje
Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava
Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje
PowerGhost: Novi majner koji isključivo napada firme širom sveta
Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje