A la izquierda – Sberbank de Rusia original de aplicación, a la derecha – aplicación falsa; Fuente de la imagen: TrendMicro
Fanta SDK es una de las amenazas más recientes maliciosos dirigidos a los usuarios de Android. Este malware en particular es bastante bueno en protegerse a sí mismo y cambia el código PIN del dispositivo del usuario para bloquear su dispositivo. Mientras tanto, la cuenta bancaria del usuario se está vaciando.
Fanta SDK apareció por primera vez en diciembre 2015, pero no fue amplia y repartidas en ese entonces y por lo tanto no llegan a los titulares. Sin embargo, durante los últimos meses el malware ha sido mejorado y ahora es más activo.
Fanta SDK de Android Malware Distribución
Al igual que con otras formas de malware, atacantes están distribuyendo la amenaza a través de correos electrónicos no deseados. ¿Cómo se lleva a cabo la campaña? La víctima potencial recibirá un correo electrónico con la dirección de correo electrónico de su banco falsificado. Entonces, se les pedirá a actualizar su aplicación de banca debido a una nueva actualización ha sido puesto en libertad. víctimas actuales de Fanta SDK están situados sólo en Rusia, y son clientes de Sberbank de Rusia.
Fanta SDK de Android Malware Descripción
TrendMicro es la empresa de seguridad que analizó la amenaza después de que adquirieran una muestra de una aplicación bancaria falsa en Rusia. Este fue de hecho Fanta SDK. Como ya se ha escrito, el malware cambia la contraseña del dispositivo cuando la víctima intenta eliminar o desactivar los privilegios de administrador de la aplicación.
Leer también Android App Permisos y privacidad de su Teléfono
Fanta SDK también tiene una forma rara de ejecutar su rutina maliciosa por la espera de comandos antes de ser lanzado al ataque. TrendMicro escribe que:
Los usuarios pueden obtener Fanta SDK de enlaces URL maliciosas para aplicación benigna como "sistema", así como la descarga desde las tiendas de aplicaciones de terceros. El mensaje contendría una narrativa que pedir a los usuarios para descargar la última versión de la aplicación de banca de inmediato por razones de seguridad.
Una vez que la aplicación se descarga e instala, se le pedirá al usuario que conceda privilegios de administrador. Esto debe advertir inmediatamente al usuario de comportamiento malicioso, como aplicaciones legítimas no solicitar derechos de administrador.
Una vez que se obtienen los privilegios de administrador, Fanta SDK esperará a que la víctima potencial para poner en marcha la aplicación de banca móvil. Esta última campaña de Fanta SDK está configurado para mostrar una suplantación de identidad emergente para agarrar datos bancarios del usuario. Entonces, el usuario será redirigido a la aplicación.
¿Cuándo es la cuenta bancaria de un usuario Vaciado con éxito?
Una vez que el usuario "detecta" el comportamiento malicioso de la aplicación de banca, que probablemente se trate de desinstalarlo. Sin embargo, ellos no serán capaces de hacerlo a menos que eliminan los privilegios de administrador. Si esto se hace, el SDK Fanta cambia la contraseña del dispositivo, bloqueo a la víctima.
Como ha escrito TrendMicro investigadores:
No es fácil para los usuarios desbloquear el dispositivo si el código se establece por el programa malicioso. Una forma posible es eliminar el archivo de clave de contraseña debajo de la caja ADB. Pero esto requiere que el dispositivo tiene sus raíces y de depuración USB está activado.
Sin embargo, enraizamiento un dispositivo es rara en la vida real por las siguientes razones:
- Pocos, si cualquier, dispositivos Android tienen su origen fuera de la caja
- No todos los dispositivos Android pueden tener sus raíces
- Enraizamiento una garantía rompe la unidad de dispositivos
Además, el malware se vaciará con éxito la cuenta bancaria de la víctima, sobre todo cuando se tiene varias cuentas bancarias.
Fanta SDK En relación con Cridex, Ramnit y Zbot troyanos bancarios
No es sorprendente, el malware para Android se conecta a la infraestructura de entrega de campañas maliciosas Cridex, Ramnit, y troyanos bancarios ZBOT:
La investigación adicional del C&servidor de C nos llevó a la dirección IP 81.177.139.62. La dirección IP era un dominio de estacionamiento, acoger varios otros tipos de malware incluyendo ransomware, Ramnit, CRIDEX, y ZBOT. Aún estamos investigando este dominio con la esperanza de encontrar un vínculo entre los responsables detrás de la aplicación falso banco y el otro malware que se distribuye en la dirección IP.
Cómo proteger su teléfono Android SDK de Fanta
La investigación de TrendMicro revela que la última aplicación Sberbank se actualiza para detectar malware, mientras que las versiones antiguas no pueden. Afortunadamente, la empresa ya ha contactado con el banco, informándoles acerca de la amenaza a la seguridad.
Si usted es un cliente de este banco, usted debe considerar la actualización de su aplicación a través de sitio web principal del banco.
Si un banco o proveedor de crédito solicitudes que los usuarios descargar una nueva versión de una aplicación, hacerlo de forma segura mediante la descarga de la aplicación en el sitio web principal.
También, no se olvide que el dispositivo Android necesita protección anti-malware, así como su ordenador personal.
Leer también SpyLocker Android de Troya Después de clientes de los bancos de la UE