SOS :: Security Operation Space
13 ноября, вторник, 00:00
|
Hot News:

Эксперты нашли в Google Play новые загрузчики банкеров

13 июля 2018 г., пятница, 13:43

Программы, замаскированные под легитимные приложения, доставляют на мобильные устройства Marcher и BankBot.

По меньшей мере 10 приложений из Google Play загружают на мобильные устройства банкеры. К такому выводу пришли специалисты исследовательской группы IBM X-Force. Кампания нацелена на турецких пользователей и оперирует сотнями версий троянов. Зловреды маскируются под легитимные приложения и крадут финансовую информацию через снимки экрана и перехват данных клавиатуры.

Для доставки полезной нагрузки киберпреступники применяют программы разных типов — от сервисов онлайн-шопинга до финансовых систем и даже автомобильных приложений. Они легко проходят проверку безопасности Google Play, поскольку не содержат фрагменты вредоносного кода, а снабжены лишь бэкдором для работы с командным сервером.

Исследователи подчеркнули, что только одно из таких приложений не было пропущено партнерами сервиса VirusTotal. Однако случаев его обнаружения антивирусами зарегистрированного не было.

Проследив эволюцию версий загрузчиков, специалисты отметили постоянное развитие приложений. Мошенники обфусцируют исходный код, чтобы оставаться незамеченными для системы безопасности Google Play, а также расширяют возможности взаимодействия с сервером.

Попав на мобильное устройство жертвы, приложение загружает на него один из штаммов банкера Marcher или финансовый троян BankBot Anubis. Как пояснили эксперты X-Factor, наиболее свежие образы вредоносного ПО в этой кампании относятся к BankBot. Это может свидетельствовать о том, что злоумышленники отказываются от Marcher, однако не исключено, что мошенники работают на принципах MaaS, сдавая криминальную сеть в аренду, и предоставляют своим клиентам возможность выбора полезной нагрузки.

Исследователям удалось обнаружить более тысячи вариантов BankBot и узнать, как менялся его код. По словам специалистов, мы имеем дело со спланированной кампанией, за которой стоит организованная команда киберпреступников.

После установки на смартфон зловред маскируется под легитимное приложение Google Play Protect и запрашивает у пользователя расширенные привилегии на устройстве. В отличие от других банкеров, эта версия BankBot не применяет дополнительный прозрачный слой, чтобы перехватывать пароли и номера банковских карт. Вместо этого программа получает разрешение на запись работы с экранной клавиатурой в финансовых приложениях.

Помимо функций кейлоггера, вредонос способен отправлять злоумышленникам снимки экрана, получать доступ к банковским сервисам и красть пароли от электронных кошельков.

В декабре 2017 года создатель Marcher продал исходный код вредоносного скрипта. Специалисты считают, что это может породить новую волну атак, связанных с этим банкером. Не исключено, что кампания, которую сейчас наблюдают ИБ-эксперты, является одним из последствий криминальной сделки.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:40
15:15
15:07
15:03
14:15
13:15
12:35
12:15
11:29
10:15
10:15
09:15
08:15
07:15
07:15
06:15
06:07
17:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.160
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.