Bankarski trojanac Gozi2 koristi Gmail za infekciju Androida trojancem Marcher

Opisi virusa, 13.12.2016, 01:30 AM

Bankarski trojanac Gozi2 koristi Gmail za infekciju Androida trojancem Marcher

Bezbednosni istraživači Bad Cyber Labsa upozorili su na novi način infekcije Android uređaja preko inficiranih računara.

Prva faza infekcije je ona u kojoj dolazi do infekcije računara bankarskim trojancem ISFB (poznatog i pod nazivom Gozi2), dok druga faza infekcije je faza infekcije Android uređaja bankarskim trojancem Marcher.

Do infekcije trojancem ISFB dolazi kada korisnik otvori fajl u prilogu spam emaila. Ove emailove navodno šalje poljsko ministarstvo finansija. Fajl u emailovima ima dve ekstenzije, npr. .PDF.EXE.

Otvaranje ovog fajla instalira trojanca ISFB na računaru korisnika. ISFB se oslanja na "web inject" tehniku za ubacivanje dodatnog sadržaja u sajtove. Većina ovih web sajtova su portali banaka, sa kojih oni koje stoje iza ISFB trojanca žele da prikupe korisnička imena i lozinke.

Međutim, nova verzija ISFB trojanca koristi "web inject" tehniku u Gmailu.

Na taj način ISFB u iskačućem prozoru traži od korisnika njegov broj telefona da bi mu poslao verziju aplikacije Google Authenticator Code, kojom će zaštititi svoj Gmail nalog.

Ako korisnik nasedne na ovo, a postoji mogućnost da se to desi, on dobija SMS poruku na svoj telefon, sa skraćenim Goo.gl linkom koji vodi do Android aplikacije koje nema u Google Play prodavnici.

Pre nego što je Google uklonio ovaj link, više od 100 korisnika je kliknulo na njega, mada to ne znači da su svi oni instalirali aplikaciju. Podrazumevana podešavanja Androida su takva da se sprečava instalacija aplikacija sa alternativnih marketa.

Ako korisnik ne mari mnogo za bezbednost i ako je isključio ovu opciju, može se desiti da instalira malver Marcher, jedan od najnaprednijih bankarskih trojanaca današnjice.

ISFB trojanac na računaru detektuje infekciju Android smart telefona i nastavlja sa prevarom, tražeći od žrtve da unese šestocifreni kod koji je dobila preko aplikacije. Ovo se dešava zbog toga što žrtvu treba uveriti da je instalirala validnu aplikaciju a ne malver.

"Izgleda da su sigurnosni mehanizmi koje su implementirale banke, a naročito detekcija web injecta, postali takva prepreka za kriminalce koji su morali da pronađu nove načine da prinude korisnike da instaliraju mobilni malver", kažu istraživači. Oni dodaju da maliciozna mobilna aplikacija ne krade bankarske akreditive, već to radi njegov saučesnik na laptopu. Međutim, ona koristi mogućnost krađe podataka o kreditnoj kartici korisnika preko aplikacije koja prekriva aplikacije Google Play, Gmail ili Paypal.

Istraživači kažu i da je Marcherom inficirana aplikacija konfigurisana tako da izbegava korisnike iz bivšeg SSSR-a, osim korisnike iz Gruzije i tri baltičke zemlje.

U ovom trenutku ISFV i Macher ciljaju uglavnom poljske i nemačke korisnike.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje