ICT NN IOT NN |B2B NN | CB NN | DC NN | RC NN |  CW NN | EW NN |SM NN | ITSEC NN | NETGURU NN KANKRY 256x256 facebook cube 256x256 linkedin cube 256x256 twitter cube 256x256 youtube cube

Trojan Android Banking se zaměřuje na více než 232 aplikací včetně aplikací nabízených indickými bankami

Laboratoře Quick Heal Security zjistily systém Android Banking, který se zaměřuje na více než 232 bankovních aplikací včetně těch, které nabízejí indické banky. Malware je známý jako Android.banker.A2f8a (dříve detekován jako Android.banker.A9480).

android malwareStejně jako většina jiných malware pro Android banking, i tento je určen k odcizení přihlašovacích pověření, krádeži SMS, nahrávání seznamů kontaktů a SMS a jejich přenosu na podvodný server, zobrazování překryvné obrazovky (zachycení detailů) aplikací a provádění dalších škodlivých činností.

Infekční vektor

Aplikace Android.banker.A2f8a se šíří prostřednictvím falešné aplikace Flash Player v obchodě třetích stran. To není překvapující vzhledem k tomu, že Adobe Flash je jedním z nejrozšířenějších produktů na internetu. Vzhledem k jeho popularitě a globální instalační základně je často využíván útočníky.

Technická analýza

Po instalaci škodlivé aplikace tato požádá uživatele, aby aktivoval práva pro správu. A i když uživatel odmítne požadavek nebo tento proces sestřelí, bude aplikace stále vyhazovat vyskakovací okna, dokud uživatel neaktivuje oprávnění administrátora. Jakmile se to stane, škodlivá aplikace skryje svou ikonu.

Aplikace na pozadí pak provádí škodlivé úkoly – neustále kontroluje nainstalovanou aplikaci na zařízení oběti a zejména vyhledává 232 aplikací (bankovnictví a některé aplikace s kryptoměnami).

Pokud se na infikovaném zařízení nachází některá z cílených aplikací, podvodná aplikace zobrazí falešné oznámení jménem této cílené bankovní aplikace. Jakmile uživatel klepne na oznámení, zobrazí se falešná přihlašovací obrazovka, která ukradne důvěrné informace uživatele, jako je jeho ID a heslo pro přihlášení k jeho bankovnímu účtu.

Během analýzy bylo laboratoří Quick Heal Security zjištěno, že malware byl schopen přijímat a zpracovávat následující příkazy ze serveru C & C:

Send_GO_SMS Send an SMS
GetSWSGO Collect all SMS from the device
nymBePsG0 Upload list of contacts to a malicious server
telbookgotext Send SMS to all contacts with the text from its command
StartAutoPush Show fake notification
RequestPermissionInj ACCESSIBILITY Permission
RequestPermissionGPS GPS Permission
killBot Set all urls null in Shared Preferences
getIP Upload location to a malicious server
ussd Send a USSD request

1. Kdykoli klient obdrží od serveru příkaz „startAutoPush“, zobrazí se s ikonou cílené aplikace falešné oznámení (název: „Urgentní zpráva!“ A k tomu text: „Potvrďte svůj účet“). Kliknutím na oznámení uživatel přejde na falešnou přihlašovací stránku, jak bylo popsáno výše.

Během analýzy nebyl C & C server funkční; takže nebylo možné sledovat dynamickou aktivitu aplikace.

2. Malware může zachytit všechny příchozí a odchozí zprávy SMS z infikovaného zařízení. To umožňuje útočníkům zabránit dvoufaktorové autentizaci založené na SMS na bankovním účtu oběti (OTP). Malware byl také schopen odesílat SMS s dynamicky přijatým textem a číslem ze strany serveru.

3. Kdykoli klient obdrží příkaz „GetSWSGO“ ze serveru, shromáždí všechny SMS uložené v zařízení a nahraje je na podvodný server.

4. Malware může také nastavit hlasitost vyzvánění na tiché, aby bylo potlačeno oznámení příchozích SMS.

5. Kdykoli klient obdrží od serveru příkaz „nymBePsG0“, odešle kontakty oběti na server útočníka.

bank hackSeznam aplikací, které jsou ohroženy a týkají se naší oblasti:

· cleverlance.csas.servis24 (SERVIS 24 Mobilni banka)

· csob.smartbanking

· sberbankcz (Smart Banking)

Podvodná aplikace

Název aplikace: přehrávač Flash Player

Název balíčku: yqyJqWdtdf.UOaOrquyRDgLFgGueha

MD5: 29cf5cc309c2e29b6afd63eb5ab8fbd2

Velikost: 115 KB

Rychlá detekce a léčení

Quick Heal úspěšně zjistí tento Android Banking Trojan jako Android.banker.A2f8a.

Důležitá poznámka: Přehrávač Adobe Flash byl zrušen po verzi Android 4.1, protože je k dispozici v samotném mobilním prohlížeči. V obchodu Google Play tedy není k dispozici žádný oficiální přehrávač Adobe Flash Player. Společnost Adobe také oznámila, že přestane aktualizovat a distribuovat přehrávač Flash do konce roku 2020 ve všech formátech prohlížeče.

Tipy na to, abyste byli v bezpečí před androidovými trojany

· Vyhněte se stahování aplikací z obchodů aplikací třetích stran nebo odkazů uvedených v SMS nebo e-mailech.

· Vždy udržujte nastavení „Instalace z neznámých zdrojů“ neaktivní. Povolení této možnosti umožňuje instalaci aplikací z neznámých zdrojů.

· Nejdůležitější je ověřit oprávnění aplikace před instalací jakékoli aplikace, a to i z oficiálních obchodů, jako je Google Play.

· Nainstalujte spolehlivou aplikaci pro zabezpečení pro mobilní zařízení, která dokáže detekovat a zablokovat falešné a škodlivé aplikace dříve, než mohou infikovat vaše zařízení.

· Vždy udržujte aktuální informace o operačním systému a mobilní aplikaci.

Gajanan Khond | Quick Heal Security Labs


Nejčtenější

Chyba: Žádné články k zobrazení