Til venstre – oprindelige Sberbank Rusland app, til højre – falsk app; Image Source: TrendMicro
Fanta SDK er en af de nyeste ondsindede trusler rettet mod Android-brugere. Denne særlige malware er temmelig god til at beskytte sig selv og ændrer brugerens enhed pinkode for at låse deres enhed. I mellemtiden, brugerens bankkonto tømmes.
Fanta SDK dukkede først i december 2015, men blev ikke udbredt dengang og dermed gjorde det ikke gøre overskrifter. Men, i løbet af de sidste mange måneder malwaren er blevet forbedret og er nu mere aktiv.
Fanta SDK Android Malware Distribution
Som med andre former for malware, angribere distribuerer truslen via spam e-mails. Hvordan kampagnen finder sted? Den potentielle offer vil modtage en e-mail med deres banks falsk e-mail-adresse. Derefter, de vil blive bedt om at opdatere deres bank app, fordi en ny opdatering er blevet frigivet. Aktuelle ofre for Fanta SDK ligger kun i Rusland, og er kunder Sberbank Rusland.
Fanta SDK Android Malware Beskrivelse
TrendMicro er det vagtfirma, der analyserede truslen, efter at de har erhvervet en prøve af en falsk bank app i Rusland. Dette var faktisk Fanta SDK. Som allerede skrevet, malware ændrer enhedens adgangskode, når offeret forsøger at fjerne eller deaktivere app administratorrettigheder.
også Læs Android App Tilladelser og telefonens personlige oplysninger
Fanta SDK har også en sjælden måde at køre sin ondsindede rutine ved at vente på kommandoer forud for angrebet bliver lanceret. TrendMicro skriver, at:
Brugere kan få Fanta SDK fra ondsindede URL-links til godartet app som ”system”, samt downloade dem fra tredjeparts app stores. Meddelelsen vil indeholde en fortælling, der vil bede brugerne til at downloade den nyeste version af bank app straks af sikkerhedsmæssige årsager.
Når app er downloadet og installeret, brugeren bliver bedt om at give det administratorrettigheder. Dette bør straks advare brugeren af ondsindet adfærd, som legitime applikationer ikke anmode admin rettigheder.
Når opnås administratorrettigheder, Fanta SDK vil vente på det potentielle offer til at lancere den mobile banking app. Denne seneste kampagne for Fanta SDK er indstillet til at vise en phishing pop op for at få fat brugerens bankoplysninger. Derefter, brugeren vil blive omdirigeret til den app.
Hvornår er en brugers bankkonto Succesfuld Tømte?
Når brugeren ”opdager” den skadelig adfærd af bank-app, de vil sandsynligvis forsøge at afinstallere det. Men, de vil ikke være i stand til at gøre dette, såfremt de fjerne administratorrettigheder. Hvis dette gøres, Den Fanta SDK ændrer enhedens adgangskode, låsning offeret ud.
Som skrevet af TrendMicro forskere:
Det er ikke nemt for brugere at låse enheden op, hvis koden er indstillet af malware. En mulig måde er at slette nøglefilen adgangskode under ADB shell. Men det kræver at enheden er forankret og USB debug er aktiveret.
Men, rode en enhed er sjælden i det virkelige liv af følgende grunde:
- Få, hvis nogen, Android-enheder er forankret ud af kassen
- Ikke alle Android-enheder kan være rodfæstet
- Beskæftigelsesmaterialer en enheder enhed pauser garanti
Endvidere, malware vil med held tømme ofrets bankkonto, især når han har flere bankkonti.
Fanta SDK Relateret til Cridex, Ramnit og Zbot Banking trojanske heste
Ikke overraskende, Android malware er forbundet til infrastrukturen i ondsindede kampagner leverer Cridex, ramnit, og Zbot banking trojanske heste:
Yderligere undersøgelse af C&C server førte os til IP-adressen 81.177.139.62. IP-adressen var en parkeringsplads domæne, hosting flere andre malware herunder ransomware, ramnit, CRIDEX, og Zbot. Vi er stadig undersøger dette domæne i håb at finde en sammenhæng mellem gerningsmændene bag den falske bank app og den anden malware distribueret i IP-adressen.
Sådan Beskyt din Android-telefon fra Fanta SDK
TrendMicro forskning viser, at den seneste Sberbank app er opdateret til at opdage malware, mens gamle versioner ikke kan. Heldigvis, firmaet har allerede kontaktet banken, informere dem om sikkerhedstrussel.
Hvis du er kunde hos denne bank, bør du overveje at opdatere sin app via bankens primære websted.
Hvis en bank eller kredit udbyder anmoder om, at brugerne downloade en ny version af en app, gøre det sikkert ved at downloade app'en på de vigtigste hjemmeside.
Også, glem ikke, at din Android-enhed har brug for anti-malware beskyttelse, såvel som din personlige computer.
også Læs SpyLocker Android Trojan Efter Kunder EU Banks