サイバーセキュリティの研究者は、ブラジルを起源とし、スペインのAndroidユーザーを標的とする新しい危険なバンキング型トロイの木馬を明らかにしました, ポルトガル, フランス, とイタリア.
ビザロと呼ばれる, トロイの木馬は、の顧客からログイン資格情報を盗もうとしています。 70 銀行. 「テトレードの足跡をたどる, Bizarroは、アフィリエイトを使用しているか、マネーミュールを募集して攻撃を運用しています, キャッシュアウトまたは単に送金を手伝うために,」KasperskyによるSecureListがレポートで共有されました.
BizarroBankingTrojanとは何ですか?
Bizarroのオペレーターは、攻撃を機能させるためにアフィリエイトを使用しているか、マネーミュールを募集しています, したがって、現金化または送金の支援. トロイの木馬はさまざまなコンポーネントを使用します, 難読化の手法, 巧妙なソーシャルエンジニアリング戦術を介して配布されています.
カスペルスキーの調査結果によると, Bizarroにはx64モジュールがあり、ユーザーをだまして偽のポップアップウィンドウで2FAコードを共有させることができます. トロイの木馬は、他のトリックを使用して、被害者にスマートフォンアプリをダウンロードするように説得します.
「また、ソーシャルエンジニアリングを使用して、被害者にスマートフォンアプリをダウンロードするように説得することもできます。. Bizzaroの背後にあるグループは、AzureとAmazonでホストされているサーバーを使用しています (AWS) マルウェアを保存してテレメトリを収集するための侵害されたWordPressサーバー," レポート 明らかに.
Bizarroトロイの木馬がデバイスにインストールされるとどうなるか?
インストールしたら, トロイの木馬は、実行中のすべてのブラウザプロセスを強制終了し、オンラインバンキングサイトとの既存のセッションを終了するように設計されています. これを行うことによって, トロイの木馬は、ユーザーがモバイルバンキングセッションを開くと安心します, 再度サインインする必要があります, マルウェアがログイン資格情報を盗むことを可能にする. さらに, Bizarroはまた、ブラウザのオートコンプリート機能を無効にし、偽のポップアップを使用して2FAコードを収集します. それを締めくくるには, マルウェアは画面キャプチャモジュールを備えています.
[ビザロ] 拡大.dllライブラリをロードし、非推奨のMagSetImageScalingCallbackAPI関数のアドレスを取得します. その助けを借りて, トロイの木馬は、ユーザーの画面をキャプチャし、システムクリップボードを常に監視することができます, ビットコインウォレットアドレスを探しています. 見つかった場合, マルウェア開発者が所有するウォレットに置き換えられます, カスペルスキーは説明しました.
でも, Bizarroトロイの木馬の最も危険なコンポーネントは、メインのバックドアモジュールです。, 以上を実行することができます 100 コマンド.
Bizarroのバックドアコンポーネントはどのように機能しますか?
初めに, トロイの木馬がハードコードされたオンラインバンキングシステムの1つへの接続を検出するまで、バックドアは起動しません。. 接続が確立されたら, トロイの木馬は、そのコマンドのいずれかを実行できます.
Bizarroの主なコマンドのいくつかは次のとおりです:
- コマンドアンドコントロールサーバーのオペレーターが被害者に関するデータを取得し、接続ステータスを管理できるようにするコマンド;
- 攻撃者が被害者のハードドライブにあるファイルを制御できるようにするコマンド;
- 攻撃者がユーザーのマウスとキーボードを制御できるようにするコマンド;
- 攻撃者がバックドア操作を制御できるようにするコマンド, シャットダウン, オペレーティングシステムを再起動または破棄し、Windowsの機能を制限します;
- キーストロークをログに記録するコマンド;
- ソーシャルエンジニアリング攻撃を実行するコマンド.
結論は: Bizarroのトロイの木馬作戦
Kasperskyの研究者は、南アメリカからの多数のバンキング型トロイの木馬を観察していることも共有しました。, 主にヨーロッパ諸国に事業を拡大する. Bizarroのオペレーターは、マルウェアの分析と検出を複雑にするために、さまざまな高度な技術的トリックをすばやく採用しています。. 巧妙に作成されたソーシャルエンジニアリング戦術を追加する, トロイの木馬は、被害者に個人的な財務情報を喜んで提供するように説得する能力を十分に備えているようです。.
他のマルウェアがAndroidユーザーを危険にさらしているもの?
Androidの脅威の状況からの最新のマルウェアサンプルには、次のものが含まれます。 Flubotスパイウェア, ワーム可能なマルウェア FlixOnlineと呼ばれるNetflixアプリになりすました, と Ghimobバンキング型トロイの木馬.
ギモブ銀行家, 特に, AstarothWindowsマルウェアをコーディングしたのと同じサイバー犯罪者によって開発されたようです. ハッカーが公式のGooglePlayストアを配布チャネルとして使用しなかったことは注目に値します. この目的のために, ハッカーは、以前にAstarothによって展開されたサイトとサーバーに悪意のあるAndroidアプリを展開しました.
ついに, 12月下旬に 2020, セキュリティ研究者は新しいを報告しました Android用のサービスとしての難読化プラットフォーム, サイバー犯罪者が検出回避メカニズムを改善できるようにする. 短編小説, ハッカーは、モバイルマルウェアのAndroidパケットキットを保護する完全に自動化されたサービスプラットフォームの開発に成功したことが判明しました。 (APK) AV検出から. このサービスは、1回限りの支払いまたは定期的な月額サブスクリプションとして利用できます. 英語とロシア語に翻訳されています, その起源をほのめかす.