Cybersicherheitsforscher haben gerade einen neuen gefährlichen Bankentrojaner aus Brasilien entdeckt, der sich an Android-Nutzer in Spanien richtet, Portugal, Frankreich, und Italien.
Bizarr genannt, Der Trojaner versucht, Anmeldeinformationen von Kunden von zu stehlen 70 Banken. „Auf den Spuren von Tetrade, Bizarro setzt Partner ein oder rekrutiert Geldmaultiere, um ihre Angriffe zu operationalisieren, Auszahlung oder einfach um bei Überweisungen zu helfen,SecureList von Kaspersky teilte in ihrem Bericht.
Was ist ein Bizarro-Banking-Trojaner??
Die Betreiber von Bizarro setzen Partner ein oder rekrutieren Geld-Maultiere, um ihre Angriffe einsatzbereit zu machen, Auf diese Weise werden die Überweisungen ausgezahlt oder unterstützt. Der Trojaner verwendet verschiedene Komponenten, Verschleierungstechniken, und wird über clevere Social-Engineering-Taktiken verbreitet.
Nach Kasperskys Erkenntnissen, Bizarro verfügt über x64-Module und kann Benutzer dazu verleiten, ihre 2FA-Codes in gefälschten Popup-Fenstern freizugeben. Der Trojaner verwendet andere Tricks, um die Opfer zum Herunterladen einer Smartphone-App zu überreden.
„Es kann auch Social Engineering verwenden, um die Opfer davon zu überzeugen, eine Smartphone-App herunterzuladen. Die Gruppe hinter Bizzaro verwendet Server, die auf Azure und Amazon gehostet werden (AWS) und kompromittierte WordPress-Server, um die Malware zu speichern und Telemetrie zu sammeln," der Bericht aufgedeckt.
Was passiert, wenn der Bizarro-Trojaner auf einem Gerät installiert ist??
Einmal installiert, Der Trojaner wurde entwickelt, um alle laufenden Browserprozesse zu beenden und vorhandene Sitzungen mit Online-Banking-Websites zu beenden. Dadurch, Der Trojaner versichert, dass ein Benutzer eine Mobile-Banking-Sitzung öffnet, Sie müssen sich erneut anmelden, Aktivieren der Malware, um die Anmeldeinformationen zu stehlen. Weiter, Bizarro deaktiviert auch die Autovervollständigungsfunktion im Browser und verwendet gefälschte Popups, um 2FA-Codes zu sammeln. Nach oben, dass aus, Die Malware verfügt über ein Bildschirmaufnahmemodul.
[Bizarr] Lädt die Bibliothek magnification.dll und ruft die Adresse der veralteten MagSetImageScalingCallback-API-Funktion ab. Mit seiner Hilfe, Der Trojaner kann den Bildschirm eines Benutzers erfassen und die Zwischenablage des Systems ständig überwachen, auf der Suche nach einer Bitcoin-Brieftaschenadresse. Wenn es einen findet, Es wird durch eine Brieftasche der Malware-Entwickler ersetzt, Erklärte Kaspersky.
Jedoch, Die gefährlichste Komponente des Bizarro-Trojaners ist das Backdoor-Hauptmodul, fähig, mehr als zu leisten 100 Befehle.
Wie funktioniert die Backdoor-Komponente von Bizarro??
Zunächst, Die Hintertür wird erst gestartet, wenn der Trojaner eine Verbindung zu einem der fest codierten Online-Banking-Systeme feststellt. Sobald eine Verbindung hergestellt ist, Der Trojaner kann jeden seiner Befehle ausführen.
Einige der Hauptbefehle von Bizarro sind die folgenden:
- Befehle, mit denen die Befehls- und Kontrollserverbetreiber Daten über das Opfer abrufen und den Verbindungsstatus verwalten können;
- Befehle, mit denen Angreifer die Dateien auf der Festplatte des Opfers steuern können;
- Befehle, mit denen Angreifer die Maus und Tastatur des Benutzers steuern können;
- Befehle, mit denen die Angreifer den Backdoor-Vorgang steuern können, Herunterfahren, Starten Sie das Betriebssystem neu oder zerstören Sie es und schränken Sie die Funktionalität von Windows ein;
- Befehle, die Tastenanschläge protokollieren;
- Befehle, die Social-Engineering-Angriffe ausführen.
Abschließend: Bizarros Trojaner-Operation
Kaspersky-Forscher teilten auch mit, dass sie eine Reihe von Bankentrojanern aus Südamerika beobachtet haben, die ihre Aktivitäten hauptsächlich auf europäische Länder ausweiten. Die Betreiber von Bizarro wenden schnell verschiedene fortschrittliche technische Tricks an, um die Analyse und Erkennung von Malware zu vereinfachen. Hinzufügen der intelligent gestalteten Social-Engineering-Taktik, Der Trojaner scheint in der Lage zu sein, die Opfer davon zu überzeugen, bereitwillig ihre persönlichen finanziellen Daten anzugeben.
Welche andere Malware gefährdet Android-Benutzer??
Einige der neuesten Malware-Beispiele aus der Android-Bedrohungslandschaft umfassen die Flubot-Spyware, eine wurmbare Malware Maskiert als Netflix-App namens FlixOnline, und der Ghimob-Bankentrojaner.
Der Ghimob Banker, insbesondere, scheint von denselben Cyberkriminellen entwickelt worden zu sein, die die Astaroth Windows-Malware codiert haben. Es ist bemerkenswert, dass Hacker den offiziellen Google Play Store nicht als Vertriebskanal verwendet haben. Hierzu, Die Hacker stellten schädliche Android-Apps auf Websites und Servern bereit, die zuvor von Astaroth bereitgestellt wurden.
Schließlich, Ende Dezember 2020, Sicherheitsforscher berichteten über eine neue Obfuscation-as-a-Service-Plattform für Android, Cyberkriminelle in die Lage versetzen, ihre Erkennungshinterziehungsmechanismen zu verbessern. Um es kurz zu machen, Es stellt sich heraus, dass es Hackern gelungen ist, eine vollautomatische Serviceplattform zu entwickeln, die Android Packet Kits für mobile Malware schützt (APKs) von der AV-Erkennung. Der Service ist als einmalige Zahlung oder als wiederkehrendes monatliches Abonnement erhältlich. Es ist ins Englische und Russische übersetzt, Hinweis auf seinen Ursprung.