Зловреден софтуер е специализиран в проникването в телефони с Android.
Беше открит нов банков троянски кон за Android, който може да заобиколи многофакторните контроли за удостоверяване чрез злоупотреба с ATS.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
В края на октомври изследователи по киберсигурност от Cleafy откриха зловреден софтуер, който изглежда не принадлежи към нито едно известно семейство.
Сега наречен SharkBot, зловредният софтуер за Android е проследен при атаки, фокусирани върху кражба на средства от уязвими телефони, работещи на операционната система Google Android.
Досега заразени са открити в Обединеното кралство, Италия и Съединените щати.
Смята се, че SharkBot вероятно е частен ботнет и все още е в ранен етап на развитие.
SharkBot е модулен злонамерен софтуер, който според изследователите принадлежи към следващото поколение мобилен злонамерен софтуер, способен да извършва атаки, базирани на системата за автоматично прехвърляне (ATS).
ATS позволява на атакуващите автоматично да попълват полета на заразено устройство с минимално човешко участие. По същия начин като банковия троян Gustuff, услугата за автоматично попълване е стартирана, за да улесни измамни парични преводи чрез законни финансови сервизни приложения - обща тенденция в развитието на злонамерен софтуер и основа от по-стари техники за кражба на мобилни телефони, като използването на фишинг домейни.
Cleafy предполага, че SharkBot използва тази техника в опит да заобиколи поведенческия анализ, биометрични проверки и многофакторно удостоверяване (MFA) - тъй като не би трябвало да бъде ново устройство записан. За да направи това обаче, зловредният софтуер трябва първо да компрометира услугите за достъпност на Android.
Веднъж изпълнен на телефон с Android, SharkBot незабавно ще поиска разрешения за достъпност -- и ще измъчва жертвата с изскачащи прозорци, докато това не бъде предоставено.
Не се показва икона за инсталиране. Сега въоръжен с всички разрешения на телефона, от които се нуждае, SharkBot тихо ще извърши стандартни атаки за наслагване на прозорец, за да открадне идентификационни данни и информация за кредитна карта, кражба на базата на ATS, а също така е в състояние да регистрира ключове и да прихваща или скрива входящи SMS съобщения.
Изследователите казват, че банковият троянски кон също е в състояние да извършва "жестове" от името на жертвата.
На прицел са приложения, предоставяни от международни банки и услуги за криптовалута.
Една добра подплата е, че не са намерени мостри в официалното хранилище на приложения за Android, Google Play Store. Вместо това злонамереният софтуер трябва да бъде зареден от външен източник чрез странично зареждане - практика, която Доставчикът предупреди, че може да бъде опасно, тъй като позволява на злонамерени приложения да заобикалят сигурността на Google Play контроли.
Към момента на писане SharkBot има ниски нива на откриване от антивирусни решения.
„С откриването на SharkBot показахме нови доказателства за това как мобилният злонамерен софтуер бързо намира нови начини за извършване на измами, опитвайки се да заобиколят контрамерките за поведенческо откриване, въведени от множество банки и финансови услуги през последните години", Cleafy казва. „Подобно на еволюцията на зловреден софтуер за работни станции през последните години, в мобилното поле виждаме бърза еволюция към по-сложни модели като ATS атаки.“
Предишно и свързано покритие
-
Ботнетът Meris атакува KrebsOnSecurity
-
Тази ботнет банда за зловреден софтуер е откраднала милиони с изненадващо прост трик
-
Този ботнет за злонамерен софтуер, разпространяващ рансъмуер, просто няма да изчезне
Имате съвет? Свържете се безопасно чрез WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0