Sur la gauche – Sberbank originale de la Russie app, sur la droite – faux app; Image Source: TrendMicro
Fanta SDK est l'une des menaces les plus récentes malveillants visant les utilisateurs Android. Ce malware particulier est assez bonne à protéger lui-même et modifie dispositif code PIN pour verrouiller leur appareil de l'utilisateur. Pendant ce temps, le compte bancaire de l'utilisateur est vidé.
Fanta SDK premier est apparu en Décembre 2015, mais n'a pas été très répandue à l'époque et donc il n'a pas fait les gros titres. Cependant, au cours des derniers mois, le logiciel malveillant a été amélioré et est maintenant plus active.
Fanta SDK Android Malware distribution
Comme avec d'autres formes de logiciels malveillants, les attaquants distribuent la menace par e-mails de spam. Comment la campagne a lieu? La victime potentielle recevra un e-mail avec l'adresse e-mail falsifié de leur banque. Puis, ils seront invités à mettre à jour leur application bancaire parce qu'une nouvelle mise à jour a été publié. victimes actuelles de Fanta SDK sont situés seulement en Russie, et sont les clients de la Sberbank de Russie.
Fanta SDK Android Malware description
TrendMicro est l'entreprise de sécurité qui a analysé la menace après l'acquisition d'un échantillon d'une application bancaire faux en Russie. Ce fut en effet Fanta SDK. Comme il a déjà écrit, le malware modifie le mot de passe de l'appareil lorsque la victime tente de supprimer ou désactiver les privilèges d'administrateur de l'application.
aussi Lire Android App Permissions et la confidentialité de votre téléphone
Fanta SDK dispose également d'une manière rare d'exécuter son sous-programme malveillant en attente de commandes avant l'attaque étant lancé. TrendMicro écrit que:
Les utilisateurs peuvent obtenir Fanta SDK de liens URL malveillants pour l'application bénigne comme « système », ainsi que de les télécharger dans les magasins d'applications tiers. Le message contiendra un récit qui demanderait aux utilisateurs de télécharger la dernière version de l'application bancaire immédiatement pour des raisons de sécurité.
Une fois que l'application est téléchargée et installée, l'utilisateur sera invité à accorder des privilèges d'administrateur. Cela devrait avertir immédiatement l'utilisateur de comportement malveillant, que les applications légitimes ne demandent pas des droits d'administrateur.
Une fois que des privilèges d'administrateur sont obtenus, Fanta SDK attendra la victime potentielle pour lancer l'application bancaire mobile. Cette dernière campagne de Fanta SDK est configuré pour afficher un pop-up phishing pour saisir les coordonnées bancaires de l'utilisateur. Puis, l'utilisateur sera redirigé vers l'application.
Quand est-compte bancaire d'un utilisateur avec succès a vidé?
Une fois que l'utilisateur « détecte » le comportement malveillant de l'application bancaire, ils essaieront sans doute de le désinstaller. Cependant, ils ne seront pas en mesure de le faire à moins qu'ils supprimer les privilèges d'administrateur. Si cela est fait, le SDK change Fanta mot de passe de l'appareil, le verrouillage de la victime sur.
Comme l'écrit TrendMicro des chercheurs:
Il est difficile pour les utilisateurs de déverrouiller l'appareil si le code est défini par le logiciel malveillant. Une possibilité est de supprimer le mot de passe fichier clé sous adb shell. Mais cela exige que le dispositif est enraciné et le débogage USB est activé.
Cependant, enracinant un dispositif est rare dans la vie réelle pour les raisons suivantes:
- Peu, si seulement, les appareils Android sont extirpés de la boîte
- Tous les appareils Android peuvent être ancrés
- Enracinement une unité de dispositifs de garantie des pauses
En outre, le logiciel malveillant videra avec succès le compte bancaire de la victime, surtout quand il a plusieurs comptes bancaires.
Fanta SDK Lié à Cridex, Ramnit et Zbot les chevaux de Troie bancaires
Sans surprise, les logiciels malveillants Android est connecté à l'infrastructure des campagnes malveillantes fournissant Cridex, Ramnit, et les chevaux de Troie bancaires Zbot:
Les investigations ultérieures du C&serveur C nous a conduit à l'adresse IP 81.177.139.62. L'adresse IP est un domaine de stationnement, hébergement plusieurs autres logiciels malveillants, y compris ransomware, Ramnit, CRIDEX, et Zbot. Nous enquêtons toujours sur ce domaine dans l'espoir de trouver un lien entre les auteurs derrière l'application bancaire faux et autres logiciels malveillants distribués dans l'adresse IP.
Comment protéger votre téléphone Android SDK de Fanta
La recherche de TrendMicro révèle que la dernière application Sberbank est mis à jour pour détecter les logiciels malveillants tandis que les anciennes versions ne peuvent pas. Heureusement, l'entreprise a déjà contacté la banque, les informant de la menace pour la sécurité.
Si vous êtes un client de cette banque, vous devriez envisager de mettre à jour son application via le site principal de la banque.
Si une demande de la banque ou d'un fournisseur de crédit que les utilisateurs télécharger une nouvelle version d'une application, faire en toute sécurité en téléchargeant l'application sur le site principal.
Aussi, ne pas oublier que votre appareil Android a besoin de protection anti-malware, ainsi que votre ordinateur personnel.
aussi Lire SpyLocker Android Trojan Après les clients des banques de l'UE
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: