Android malware, respectievelijk Android beveiliging, is geen grap. De mobiele OS wordt voortdurend aangevallen door kwaadaardige apps, aftappen van het slachtoffer persoonlijke en bankgegevens. De nieuwste Android overlay malware geval door de beveiliging onderzoekers geregistreerd bij FireEye is niet anders.
Hackers zijn gericht Android-gebruikers in Denemarken, Italië en Duitsland, oogsten credit card informatie via een stukje van overlay malware ontworpen om de interfaces van Uber spoofen, WhatsApp en Google Play. Het is nog een ander SMS phishing (of smishing) campagne gebruikers moeten zeer voorzichtig zijn van.
Verwant: Vishing, smishing, en Phishing
Android Overlay Malware in smishing Campagnes
Android overlay malware blijft evolueren en te groeien tot een ernstige mobiele bedreiging van de veiligheid. FireEye onderzoekers hebben gevolgd en geanalyseerd minstens 55 kwaadaardige programma's met behulp van de overlay methode. De aangewezen gebied voor alle campagnes is Europa.
Eerdere versies van deze malware familie waren gericht op toepassingen voor bankieren. Dankzij de evolutie, zoals WhatsApp en GooglePlay - nu de malware kan de interfaces van de meer populaire apps spoofen.
Verwant: Porno Clicker Trojan Verbergt in Google Play Apps
Meer over de Android smishing Attack
Simpel gezegd, eenmaal gedownload, de malware zal gebruikersinterfaces te bouwen op de top van echte apps, als een overlay. De interfaces zal dan vragen om creditcardgegevens en zal uiteindelijk de ingevoerde informatie naar de aanvaller.
sinds februari, het beveiligingsbedrijf heeft geconstateerd dat de Android-malware is verdeeld in vijf campagnes. In één campagne, de aanvallers succes gegenereerd ten minste 130,000 clicks naar de locatie waar de malware werd georganiseerd.
Dingen worden steeds ernstig is als latere versies van de malware beter worden in het omzeilen detectie. blijkbaar, gewoon 6 uit 54 geteste AV oplossingen trok de kwaadaardig gedrag.
Wat erger is, is dat…
Door onze nauwgezette controle van de overlay malware verspreiden via smishing berichten, We hebben onlangs geconstateerd dat dit soort aanvallen niet stoppen, ondanks de publiciteit van security onderzoekers. [...]In totaal, we geïdentificeerd 12 C2 servers gehost in vijf verschillende landen die betrokken waren bij deze campagnes. Onder hen, het IP-adres 85.93.5.109 is gebruikt door 24 kwaadaardige apps in twee campagnes en 85.93.5.139 is gebruikt door acht kwaadaardige apps. We hebben ook geconstateerd dat vier C2 servers binnen dezelfde 85.93.5.0/24 netwerksegment. Dit alles wijst erop dat de dreiging acteurs controle over aanzienlijke middelen netwerk.