Den CoyBot Android Trojan, som er en velkendt trussel i Brasilien fortsætter med sine angreb mod slutbrugere
De første kampagner blev først opdaget i oktober 2018 og siden da andre kampagner er blevet lejlighedsvis genopstod. Den seneste aktivitet er blevet analyseret i de forskellige kampagner.
Den Coybot Android Trojan er en af de velkendte malware, der er kendt for at specifikt at målrette brugere i Brasilien. Det er også kendt under et andet navn “BasBanke Trojan” som er en anden måde, hvorunder nogle sikkerhedsgrupper henvise til det. Den er designet af en ukendt hacking gruppe og på grund af det faktum, at prøverne er udgivet sporadisk betyder, at der bliver arbejdet på koden. Det giver os det indtryk, at i det mindste en betragtelig del af den er målrettet mod bestemte virksomheder eller netværk.
Den Coybot Trojan er stadig fokuseret på Android-brugere og kan leveres i følgende hacker-made pakker:
- attributter< (sforca.jyio.pele) - bf20ad4fcc9fb6910e481a199bb7da649bcd29dd91846692875a3a2c737b88d9
- Google System (gover.may.murder) - 585b675829dcab9f014d0a29861d8b7a77f41b249afc6009833436b95ccf6010
- SisParte (gover.may.murder) - 09bf981e5de5edaf39cc582a67f4f2561cba3e153f2ccf269514d839c73031f7
- AAABOBRA (gover.may.murder) - f83e570656943539fa934f2dd0a4fbaec8a4792bb2ed3701b0acf8c924556b9
Det fremgår, at Coybot Android Trojan er at inficere brugere via flere distributionsmetoder. Bortset fra de sædvanlige upload til forskellige online repositories (almindeligvis med stjålne eller falske udvikleroplysninger) malware kan spredes dog forskellige social engineering metoder. Dette kan omfatte hacket eller falske profiler, der drives af den kriminelle gruppe. Fælles steder, hvor links til virus-filer eller pakkerne selv kan spredes omfatter Facebook og WhatsApp. Den hacking gruppe har vist sig at kapre den typiske design og layout af disse web-tjenester og også håndværk lignende udseende dem med henblik på at manipulere ofrene i at interagere med dem.
https://sensorstechforum.com/remove-lampion-trojan/”]Fjern Lampion Trojan fra din pc
Brasilianske Coybot Android Trojan Operations
De aktuelle udgaver af truslen ikke omfatter en meget anderledes adfærdsmønster end tidligere infektioner. Når den er installeret på en given Android-enhed vil det først beder om relevante tilladelser ved en meddelelse pop-up. Hvis brugerne er enige så en service vil automatisk blive kørt i baggrunden. Det vil være i stand til at generere og vise meddelelser og pop-ups, samt interagere med systemet.
Det næste skridt bliver at lancere visse trojanske komponenter. Den første vil være at opgave overvågning aktive processer - både systemets dem og andre, der er blevet lanceret af brugerne. Denne proces kontrol gør det muligt for Cybot Trojan til kapre information eller det vil stoppe dem i at køre. Dette er meget farligt, da det også kan manipulere felter i banktransaktioner og online betalinger, der kan omdirigere penge til hacker-kontrollerede bankkonti.
Den Coybot Android Trojan er udmærket i stand til skjule sig fra sikkerhedstjenester ved at kryptere selv med en Base64 algoritme og kun kører, hvad der kræves ved at dekryptere det i realtid. Dette hindrer også de fleste af de automatiske prøve analyse motorer. Det vil efterligne almindelige Android activiti4es.
Ligesom andre almindelige trojanere det vil etablere en sikker forbindelse med en hacker-kontrolleret server og give dem mulighed for at overtage kontrollen af maskinerne. Det kan også levere andre malware, herunder en Windows-trussel kendt som ved. De analyserede prøver er blevet vist at også sende indsamlede oplysninger om brugerne og de forurenede indretninger og maskiner.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: