Er is in het wild een nieuwe kwaadaardige campagne gedetecteerd die zich richt op Android-gebruikers via een trojan-app. De payload van de campagne is de Vultur-trojan die bankgegevens verzamelt, onder andere kwaadaardige activiteiten.
de boosdoener, een kwaadaardige tweefactorauthenticatie (2FA) app, die meer dan twee weken beschikbaar was om te downloaden, is gedownload 10,000 tijden. De app was een volledig functionele 2FA-authenticator (met dezelfde naam) maar het kwam met een "bonus". Als je de 2FA Authenticator-app hebt gedownload, u moet het onmiddellijk verwijderen omdat u nog steeds wordt blootgesteld, Pradeo-onderzoekers gewaarschuwd.
Volgens het rapport van Pradeo:
De applicatie genaamd 2FA Authenticator is een druppelaar die wordt gebruikt om malware op de apparaten van zijn gebruikers te verspreiden. Het is ontwikkeld om er legitiem uit te zien en een echte service te bieden. Om dit te doen, de ontwikkelaars gebruikten de open-sourcecode van de officiële Aegis-authenticatietoepassing waarin ze kwaadaardige code injecteerden. Dientengevolge, de applicatie is met succes vermomd als een authenticatietool die ervoor zorgt dat het een laag profiel behoudt.
Echter, de meest opvallende mogelijkheid van de trojan-app is dat hij kritieke machtigingen kan aanvragen die hij niet openbaar maakt in zijn Google Play-profiel. Dankzij deze machtigingen, de app kan de volgende activiteiten uitvoeren op een gecompromitteerd Android-apparaat::
- Verzamel en verzend de applicatielijst en lokalisatie van gebruikers naar de daders, zodat ze de informatie kunnen gebruiken om aanvallen uit te voeren die gericht zijn op individuen in specifieke landen die specifieke mobiele applicaties gebruiken, in plaats van massale ongerichte aanvalscampagnes die het risico zouden lopen ze bloot te stellen,
- Schakel de toetsvergrendeling en eventuele bijbehorende wachtwoordbeveiliging uit,
- Applicaties van derden downloaden in de vorm van vermeende updates,
- Vrijelijk activiteiten uitvoeren, zelfs als de app is uitgeschakeld,
- Overlay de interface van andere mobiele applicaties met behulp van een kritieke toestemming genaamd SYSTEM_ALERT_WINDOW waarvoor Google specificeert: "Zeer weinig apps zouden deze toestemming moeten gebruiken; deze vensters zijn bedoeld voor interactie op systeemniveau met de gebruiker.”
Een andere recent onthulde Android-trojan is: de BRATA-trojan. Bedreigingsactoren gebruiken de trojan om 'fraude te plegen via ongeautoriseerde overboekingen'. Enkele van de mogelijkheden zijn het uitvoeren van een fabrieksreset van het apparaat, GPS-tracking, meerdere communicatiekanalen gebruiken (zoals HTTP en TCP), en continu de bank-app van het slachtoffer kunnen volgen via VNC (Virtual Network Computing) en keylogging.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: