Cybersikkerhedsforskere afslørede netop en ny farlig banktrojan med oprindelse i Brasilien og målrettet mod Android-brugere i Spanien, Portugal, Frankrig, og Italien.
Kaldet Bizar, trojanen forsøger at stjæle loginoplysninger fra kunder hos 70 banker. ”Følge i fodsporene fra Tetrade, Bizarro bruger datterselskaber eller rekrutterer pengemuldyr til at operationalisere deres angreb, udbetale eller blot hjælpe med overførsler,”SecureList af Kaspersky delte i deres rapport.
Hvad er Bizarro Banking Trojan?
Bizarros operatører bruger datterselskaber eller rekrutterer pengemuldyr til at gøre deres angreb operationelle, således udbetale eller hjælpe overførslerne. Trojanen bruger forskellige komponenter, formørkelse teknikker, og distribueres via smart social engineering taktik.
Ifølge Kasperskys resultater, Bizarro har x64-moduler og er i stand til at narre brugere til at dele deres 2FA-koder i falske pop-up-vinduer. Trojanen bruger andre tricks til at overtale ofrene til at downloade en smartphone-app.
”Det kan også bruge social engineering til at overbevise ofrene om at downloade en smartphone-app. Gruppen bag Bizzaro bruger servere hostet på Azure og Amazon (AWS) og kompromitterede WordPress-servere til at gemme malware og indsamle telemetri," rapporten afsløret.
Hvad sker der, når Bizarro Trojan er installeret på en enhed?
Når det er installeret, trojanen er designet til at dræbe alle kørende browserprocesser og afslutte eksisterende sessioner med online-banksider. Ved at gøre dette, trojanen forsikrer om, at når en bruger åbner en mobilbanksession, de bliver nødt til at logge ind igen, gør det muligt for malware at stjæle loginoplysningerne. Endvidere, Bizarro deaktiverer også autofuldførelsesfunktionen i browseren og bruger falske pop op-vinduer til at høste 2FA-koder. Oven det off, malware har et skærmoptagelsesmodul.
[Bizar] indlæser magnification.dll-biblioteket og får adressen til den forældede MagSetImageScalingCallback API-funktion. Med dens hjælp, trojanen kan fange en brugers skærm og også konstant overvåge systemets udklipsholder, på udkig efter en Bitcoin tegnebog-adresse. Hvis den finder en, det erstattes med en tegnebog, der tilhører malwareudviklerne, Forklarede Kaspersky.
Men, den farligste komponent i Bizarro trojanen er dens vigtigste bagdørsmodul, i stand til at udføre mere end 100 kommandoer.
Hvordan fungerer Bizarros bagdørskomponent?
Først og fremmest, bagdøren starter ikke, før trojanen registrerer en forbindelse til et af de hardkodede online banksystemer. Når en forbindelse er oprettet, trojanen kan udføre sine kommandoer.
Nogle af Bizarros vigtigste kommandoer er følgende:
- Kommandoer, der giver kommando-og-kontrol-serveroperatørerne mulighed for at få data om offeret og administrere forbindelsesstatus;
- Kommandoer, der gør det muligt for angribere at kontrollere filerne på offerets harddisk;
- Kommandoer, der gør det muligt for angribere at kontrollere brugerens mus og tastatur;
- Kommandoer, der gør det muligt for angriberne at kontrollere bagdøren, lukke ned, genstart eller ødelæg operativsystemet og begræns Windows-funktionaliteten;
- Kommandoer, der logger tastetryk;
- Kommandoer, der udfører social engineering-angreb.
Afslutningsvis: Bizarros trojanske operation
Kaspersky-forskere delte også, at de har observeret en række banktrojanere fra Sydamerika, der udvider deres aktiviteter hovedsageligt til europæiske lande. Bizarros operatører vedtager hurtigt forskellige avancerede tekniske tricks til at inddrage malware-analyse og påvisning. Tilføjelse af den smart udformede taktik til social engineering, trojanen ser ud til at være fuldt ud i stand til at overbevise ofrene om villigt at give deres personlige økonomiske oplysninger.
Hvad anden malware er i fare for Android-brugere?
Nogle af de nyeste malwareeksempler fra Android-trussellandskabet inkluderer Flubot spyware, en wormable malware maskeret som en Netflix-app kaldet FlixOnline, og Ghimobs banktrojan.
Ghimobs bankmand, især, ser ud til at være udviklet af de samme cyberkriminelle, der kodede Astaroth Windows-malware. Det er bemærkelsesværdigt, at hackere ikke brugte den officielle Google Play Butik som distributionskanal. Til dette formål, hackerne indsatte ondsindede Android-apps på websteder og servere, der tidligere blev udrullet af Astaroth.
Endelig, i slutningen af december 2020, sikkerhedsforskere rapporterede om en ny obfuscation-as-a-service-platform til Android, gør det muligt for cyberkriminelle at forbedre deres mekanismer for unddragelse af afsløring. Kort fortalt, det viser sig, at hackere lykkedes at udvikle en fuldautomatisk serviceplatform, der beskytter mobil malware Android Packet Kits (APK-filer) fra AV-detektion. Tjenesten er tilgængelig som en engangsbetaling eller et månedligt abonnement. Det er oversat til engelsk og russisk, antyder dets oprindelse.