左に – ロシアのオリジナルのズベルバンクアプリ, 右側に – 偽のアプリ; 画像ソース: トレンドマイクロ
Fanta SDKは、Androidユーザーを対象とした最新の悪意のある脅威の1つです. この特定のマルウェアは、それ自体を保護するのに非常に優れており、ユーザーのデバイスのPINコードを変更してデバイスをロックします. その間, ユーザーの銀行口座が空になっています.
FantaSDKは12月に最初に登場しました 2015, しかし、当時は普及していなかったため、見出しにはなりませんでした. でも, 過去数か月の間にマルウェアは改善され、現在はより活発になっています.
FantaSDKAndroidマルウェアの配布
他の形式のマルウェアと同様に, 攻撃者はスパムメールを介して脅威を配布しています. キャンペーンはどのように行われていますか? 潜在的な被害者は、銀行のなりすましメールアドレスが記載されたメールを受信します. それで, 新しいアップデートがリリースされたため、銀行アプリをアップデートするように求められます. Fanta SDKの現在の犠牲者は、ロシアにのみ存在します, とは ロシアのズベルバンクの顧客.
FantaSDKAndroidマルウェアの説明
TrendMicroは、ロシアで偽の銀行アプリのサンプルを入手した後、脅威を分析したセキュリティ会社です。. これは確かにファンタSDKでした. すでに書いたように, 被害者がアプリの管理者権限を削除または非アクティブ化しようとすると、マルウェアはデバイスのパスワードを変更します.
また読む Androidアプリの権限と携帯電話のプライバシー
Fanta SDKには、攻撃が開始される前にコマンドを待機することにより、悪意のあるルーチンを実行するまれな方法もあります。. トレンドマイクロは次のように書いています:
ユーザーは、「システム」などの無害なアプリの悪意のあるURLリンクからFantaSDKを入手できます。, サードパーティのアプリストアからダウンロードするだけでなく. メッセージには、セキュリティ上の理由から、銀行のアプリの最新バージョンをすぐにダウンロードするようにユーザーに求める説明が含まれます。.
アプリをダウンロードしてインストールしたら, ユーザーは管理者権限を付与するように求められます. これにより、悪意のある動作についてユーザーにすぐに警告する必要があります, 正当なアプリケーションは管理者権限を要求しないため.
管理者権限を取得したら, Fanta SDKは、潜在的な被害者がモバイルバンキングアプリを起動するのを待ちます. Fanta SDKのこの最新のキャンペーンは、ユーザーの銀行の資格情報を取得するためのフィッシングポップアップを表示するように設定されています. それで, ユーザーはアプリにリダイレクトされます.
ユーザーの銀行口座が正常に空になったのはいつですか?
ユーザーがバンキングアプリの悪意のある動作を「検出」すると, 彼らはおそらくそれをアンインストールしようとします. でも, 管理者権限を削除しない限り、そうすることはできません. これが行われた場合, FantaSDKはデバイスのパスワードを変更します, 犠牲者を締め出す.
によって書かれたように トレンドマイクロ 研究者:
コードがマルウェアによって設定されている場合、ユーザーがデバイスのロックを解除するのは簡単ではありません. 考えられる1つの方法は、ADBシェルの下にあるパスワードキーファイルを削除することです。. ただし、これにはデバイスがルート化され、USBデバッグが有効になっている必要があります.
でも, 次の理由により、デバイスをルート化することは実際にはまれです。:
- 少し, もしあれば, Androidデバイスは箱から出して根付いています
- すべてのAndroidデバイスをルート化できるわけではありません
- デバイスユニットをroot化すると保証が破られます
さらに, マルウェアは被害者の銀行口座を正常に空にします, 特に彼が複数の銀行口座を持っているとき.
Cridexに関連するFantaSDK, RamnitおよびZBOTバンキング型トロイの木馬
驚くことではないが, Androidマルウェアは、Cridexを配信する悪意のあるキャンペーンのインフラストラクチャに接続されています, ラムニット, およびZBOTバンキング型トロイの木馬:
Cのさらなる調査&Cサーバーが私たちをIPアドレスに導きました 81.177.139.62. IPアドレスはパーキングドメインでした, ランサムウェアを含む他のいくつかのマルウェアをホストする, RAMNIT, CRIDEX, およびZBOT. 偽の銀行アプリの背後にいる加害者とIPアドレスで配布されている他のマルウェアとの間のリンクを見つけることを期待して、このドメインをまだ調査中です.
FantaSDKからAndroid携帯を保護する方法
トレンドマイクロの調査によると、最新のSberbankアプリはマルウェアを検出するように更新されていますが、古いバージョンでは検出できません。. 幸運, 会社はすでに銀行に連絡しています, セキュリティの脅威について彼らに知らせる.
あなたがこの銀行の顧客である場合, 銀行のメインウェブサイトからアプリを更新することを検討する必要があります.
銀行またはクレジットプロバイダーがユーザーにアプリの新しいバージョンのダウンロードを要求した場合, メインのウェブサイトでアプリをダウンロードして安全に行ってください.
また, Androidデバイスにはマルウェア対策保護が必要であることを忘れないでください, だけでなく、あなたのパソコン.
また読む EU銀行の顧客の後のSpyLockerAndroidトロイの木馬
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: