Sulla sinistra – originale Sberbank of Russia app, sulla destra – falso app; Image Source: TrendMicro
Fanta SDK è uno dei più recenti minacce dannose volte a utenti Android. Questo malware particolare è abbastanza bravo a proteggersi e cambia il codice PIN dispositivo dell'utente per bloccare il dispositivo. Nel frattempo, conto bancario dell'utente viene svuotato.
Fanta SDK prima volta nel mese di dicembre 2015, ma non è stato diffuso a quei tempi, e quindi non ha fatto i titoli dei giornali. Tuttavia, nel corso degli ultimi mesi il malware è stato migliorato ed è ora più attivo.
Fanta SDK Android Malware Distribuzione
Come nel caso di altre forme di malware, attaccanti stanno distribuendo la minaccia tramite email di spam. Come è la campagna in corso? La potenziale vittima riceverà un'email con l'indirizzo email falsificato della loro banca. Poi, essi verrà chiesto di aggiornare la loro app bancario a causa di un nuovo aggiornamento è stato rilasciato. vittime attuali di Fanta SDK si trovano solo in Russia, e sono clienti di Sberbank of Russia.
Fanta SDK Android Malware Descrizione
TrendMicro è la società di sicurezza che ha analizzato la minaccia dopo aver acquisito un campione di un'applicazione bancaria falso in Russia. Questo era in effetti Fanta SDK. Come già scritto, il malware modifica la password del dispositivo quando la vittima tenta di rimuovere o disattivare i privilegi di amministratore del app.
Leggi anche App Permessi Android e privata del telefono
Fanta SDK ha anche un modo rara di correre la sua routine di dannoso in attesa di comandi prima dell'attacco viene lanciato. TrendMicro scrive che:
Gli utenti possono ottenere Fanta SDK da collegamenti URL maligni per app benigna come “sistema”, così come scaricandoli da app store di terze parti. Il messaggio dovrebbe contenere una narrazione che chiedere agli utenti di scaricare l'ultima versione dell'app bancaria immediatamente per motivi di sicurezza.
Una volta che l'applicazione viene scaricato e installato, l'utente verrà chiesto di concedergli privilegi di amministratore. Questo dovrebbe mettere in guardia immediatamente l'utente di comportamenti dannosi, come applicazioni legittime di non richiedere diritti di amministratore.
Una volta che si ottengono privilegi di amministratore, Fanta SDK attenderà la potenziale vittima a lanciare l'applicazione di mobile banking. Questa ultima campagna di Fanta SDK è impostato per visualizzare un phishing pop-up per afferrare le credenziali bancarie degli utenti. Poi, l'utente verrà reindirizzato al app.
Quando viene conto bancario di un utente con successo Svuotato?
Una volta che l'utente “rileva” il comportamento malevolo dell'app bancaria, che probabilmente cercherà di disinstallarlo. Tuttavia, non saranno in grado di farlo a meno che non rimuovono i privilegi di amministratore. Se questo è fatto, la Fanta SDK cambia la password del dispositivo, bloccaggio della vittima fuori.
Come scritto da TrendMicro ricercatori:
Non è facile per gli utenti di sbloccare il dispositivo se il codice è impostato dal malware. Un modo possibile è quello di eliminare il file di chiave di password in adb shell. Ma questo richiede il dispositivo è radicata ed eseguire il debug USB è abilitato.
Tuttavia, radicamento di un dispositivo è rara nella vita reale per i seguenti motivi:
- Pochi, eventuali, dispositivi Android sono radicate out of the box
- Non tutti i dispositivi Android possono essere radicate
- Radicamento una garanzia di rompe locale Apparecchiature
Inoltre, il malware si svuota con successo conto bancario della vittima, soprattutto quando ha più conti bancari.
Fanta SDK correlati a Cridex, Ramnit e Zbot Trojan bancari
Non sorprende, il malware Android è collegato all'infrastruttura di campagne dannosi che forniscono Cridex, Ramnit, e trojan Zbot bancari:
Ulteriori indagini della C&server di C ci ha portato a l'indirizzo IP 81.177.139.62. L'indirizzo IP è un dominio di parcheggio, che ospita molti altri malware, tra cui ransomware, Ramnit, CRIDEX, e Zbot. Stiamo ancora indagando questo dominio nella speranza di trovare un legame tra gli autori dietro l'applicazione banca falso e l'altro malware distribuito l'indirizzo IP.
Come proteggere il vostro telefono Android di Fanta SDK
La ricerca di TrendMicro rivela che l'ultima Sberbank app viene aggiornata per rilevare malware, mentre le vecchie versioni non può. Per fortuna, l'azienda ha già contattato la banca, informandoli circa la minaccia alla sicurezza.
Se sei un cliente di questa banca, si dovrebbe considerare l'aggiornamento la sua applicazione attraverso il sito principale della banca.
Se una banca o fornitore di credito richieste agli utenti di scaricare una nuova versione di un app, farlo in modo sicuro scaricando l'applicazione sul sito principale.
Anche, non dimenticate che il vostro dispositivo Android ha bisogno di protezione anti-malware, così come il vostro personal computer.
Leggi anche SpyLocker Android Trojan Dopo I clienti delle banche dell'UE
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: