 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Программы, замаскированные под легитимные приложения, доставляют на мобильные устройства Marcher и BankBot.
По меньшей мере 10 приложений из Google Play загружают на мобильные устройства банкеры. К такому выводу пришли специалисты исследовательской группы IBM X-Force. Кампания нацелена на турецких пользователей и оперирует сотнями версий троянов. Зловреды маскируются под легитимные приложения и крадут финансовую информацию через снимки экрана и перехват данных клавиатуры.
Для доставки полезной нагрузки киберпреступники применяют программы разных типов — от сервисов онлайн-шопинга до финансовых систем и даже автомобильных приложений. Они легко проходят проверку безопасности Google Play, поскольку не содержат фрагменты вредоносного кода, а снабжены лишь бэкдором для работы с командным сервером.
Исследователи подчеркнули, что только одно из таких приложений не было пропущено партнерами сервиса VirusTotal. Однако случаев его обнаружения антивирусами зарегистрированного не было.
Проследив эволюцию версий загрузчиков, специалисты отметили постоянное развитие приложений. Мошенники обфусцируют исходный код, чтобы оставаться незамеченными для системы безопасности Google Play, а также расширяют возможности взаимодействия с сервером.
Попав на мобильное устройство жертвы, приложение загружает на него один из штаммов банкера Marcher или финансовый троян BankBot Anubis. Как пояснили эксперты X-Factor, наиболее свежие образы вредоносного ПО в этой кампании относятся к BankBot. Это может свидетельствовать о том, что злоумышленники отказываются от Marcher, однако не исключено, что мошенники работают на принципах MaaS, сдавая криминальную сеть в аренду, и предоставляют своим клиентам возможность выбора полезной нагрузки.
Исследователям удалось обнаружить более тысячи вариантов BankBot и узнать, как менялся его код. По словам специалистов, мы имеем дело со спланированной кампанией, за которой стоит организованная команда киберпреступников.
После установки на смартфон зловред маскируется под легитимное приложение Google Play Protect и запрашивает у пользователя расширенные привилегии на устройстве. В отличие от других банкеров, эта версия BankBot не применяет дополнительный прозрачный слой, чтобы перехватывать пароли и номера банковских карт. Вместо этого программа получает разрешение на запись работы с экранной клавиатурой в финансовых приложениях.
Помимо функций кейлоггера, вредонос способен отправлять злоумышленникам снимки экрана, получать доступ к банковским сервисам и красть пароли от электронных кошельков.
В декабре 2017 года создатель Marcher продал исходный код вредоносного скрипта. Специалисты считают, что это может породить новую волну атак, связанных с этим банкером. Не исключено, что кампания, которую сейчас наблюдают ИБ-эксперты, является одним из последствий криминальной сделки.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
