GPlayed šomēnes ir veicis apgriezienus, un tagad pētnieki ir atklājuši jaunu ģimenes locekli.
Ir atklāts jauns GPlayed Trojas zirga dalībnieks, kas paredzēts, lai uzbruktu Krievijai piederošas valsts bankas klientiem.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
Šā mēneša sākumā pētnieki no Cisco Talos atklāja GPlayed, "ārkārtīgi spēcīgs" Trojas zirgs, kas, inficējot Android mobilās ierīces, izliekas par Google pakalpojumu.
Atklāšanas brīdī pētnieki teica, ka viņi uzskatīja, ka ļaunprātīga programmatūra joprojām tiek izstrādāta, jo kodā bija norādes, taču tas notika tas nemazina faktu, ka Trojas zirgs bija ārkārtīgi elastīgs, izmantoja neskaidrības un saturēja spēcīgu destruktīvu un datu zagšanu. iespējas.
Tagad ir noskaidrots, ka GPlayed nav vienīgais jaunās Trojas zirgu saimes dalībnieks. Pirmdien Talos sacīja, ka arī ļaunprogrammatūras "jaunākais brālis". parādījās radarā.
Variants, kas nodēvēts par "GPlayed Banking", ir banku Trojas zirgs, kas izveidots ar īpašu lomu — lai mērķētu uz Krievijas valstij piederošiem Sberbank klientiem, kuri izmanto bankas digitālo maksājumu pakalpojumu AutoPay.
Šķiet, ka ļaunprogrammatūra var izplatīties pikšķerēšanas kampaņās un trešo pušu lietotņu krātuvēs tāpat kā GPlayed.
GPlayed Banking iespējas nav tik plašas kā priekšgājēja visaptverošā datu zagšanas funkcionalitāte, taču ļaunprogrammatūra joprojām spēj izfiltrēt datus no mērķa ierīces un nosūtīt tos uz operatora komandu un kontroles sistēmu (C2) serveris.
Ļaunprātīga programmatūra ir rakstīta .NET tādā pašā veidā kā GPlayed, kā arī tiek maskēta kā Google pakalpojums operētājsistēmā Android.
CNET: Microsoft vadītāji aizstāv piedāvājumu par ASV militāro līgumu
Ļaunprātīgs kods tiek implantēts DLL ar nosaukumu PlayMarket.dll, kas deklarē atļaujas, tostarp BIND_DEVICE_ADMIN, kas ļauj gandrīz pilnībā kontrolēt ierīci, izmantojot pakotnes sertifikātu.
Ja ļaunprogrammatūra tiek izpildīta ievainojamā ierīcē, Trojas zirgs vispirms pieprasa izmaiņas lietotāja iestatījumos privilēģiju eskalācijas nolūkos.
Pat ja upuris atcels uznirstošo logu atļaujas pieprasījumus, tie atkal parādīsies ik pēc piecām sekundēm. Talos saka, ka ļaunprogrammatūra satur arī iespēju bloķēt ierīces ekrānu, taču pašlaik tas netiek izsaukts.
Pēc tam Trojas zirgs izsauks WebView ekrāna pārklājumu un nosūtīs SMS uz Sberbank AutoPay ar vārdu "bilance" krievu valodā.
Ja cietušais ir klients un dienests reaģē, kamēr bankas konta atlikums pārsniedz 3000, Trojas zirgs darbojas. Ļaunprātīga programmatūra pieprasīs vērtību 66 000, samazinot ar soli 1000, līdz tiks noteikts pieejamais skaitlis.
Pēc tam tiek izveidots jauns WebView objekts, pieprasot šo summu. Ļaunprātīga programmatūra paliks neaktīva, ja konta atlikums būs mazāks par 3000.
TechRepublic: Kā uzņēmumi pastiprina kiberdrošību, lai novērstu iejaukšanos vēlēšanās
Tomēr, lai pabeigtu krāpniecisko darījumu, ļaunprogrammatūrai ir nepieciešams validācijas kods. GPlayed Banking analizēs visus ienākošos ziņojumus, kas satur vārdu "parole" krievu valodā, izvelkot frāzi un ievadot to WebView objektā.
Šķiet, ka objekta mainīgais arī parāda, kā Trojas zirgs mēģina apiet 3-D Secure pretkrāpšanas aizsardzību.
Skatīt arī: British Airways: kiberuzbrukums, datu zādzība, kas ir lielāka, nekā mēs sākotnēji domājām
GPlayed izstrādātāji ir pierādījuši sevi prasmīgi. Lai gan ļaunprogrammatūra GPlayed Banking ir īpaši vērsta uz klientu pamatgrupu no vienas finanšu iestādes, Talos uzskata, ka viņiem būtu "triviāls" uzdevums pielāgot Trojas zirgu, lai tas mērķētu uz citām bankām un tiešsaistē. pakalpojumus.
Ļaunprātīgās programmatūras izmantotajiem DLL ir zems noteikšanas koeficients, kas liecina, ka Trojas zirgs vēl ir pilnībā jāizlaiž savvaļā, lai radītu postījumus Android lietotājiem, "viņiem noteikti ir potenciāls inficēt lielu skaitu lietotāju un tie var ātri nolaupīt lietotāja bankas akreditācijas datus", norāda pētniekiem.
"SMS validācijas kodu pārtveršana nav nekas jauns banku Trojas zirgiem," saka Cisco Talos. "Taču šis banku Trojas zirgs, kam seko Trojas zirgs GPlayed, parāda skaidru attīstību, kas ir aiz šīs ļaunprātīgās programmatūras saimes. Viņi no vienkārša banku Trojas zirga kļuva par pilnvērtīgu Trojas zirgu ar vēl neredzētām iespējām.
Pamata ceļvedis niršanai tumšajā tīmeklī
Iepriekšējais un saistītais pārklājums
- FDA izdod 465 000 St. Jude elektrokardiostimulatoru atsaukšanu, lai aizlāpītu drošības caurumus
- Philips atklāj koda izpildes ievainojamības sirds un asinsvadu ierīcēs
- Facebook ir jāmaksā Apvienotās Karalistes ICO 500 000 £ saistībā ar Cambridge Analytica skandālu