Cybersecurity-onderzoekers hebben zojuist een nieuwe gevaarlijke banktrojan onthuld, afkomstig uit Brazilië en gericht op Android-gebruikers in Spanje, Portugal, Frankrijk, en Italië.
Bizar genoemd, de trojan probeert inloggegevens te stelen van klanten van 70 banken. “In de voetsporen treden van Tetrade, Bizarro gebruikt filialen of rekruteert geldmuilezels om hun aanvallen te operationaliseren, uitbetalen of gewoon helpen met overboekingen,”SecureList van Kaspersky gedeeld in hun rapport.
Wat is Bizarro Banking Trojan?
De operators van Bizarro gebruiken filialen of rekruteren geldmuilezels om hun aanvallen operationeel te maken, waardoor de overdrachten worden uitbetaald of ondersteund. De trojan gebruikt verschillende componenten, vertroebeling technieken, en wordt verspreid via slimme social engineering-tactieken.
Volgens de bevindingen van Kaspersky, Bizarro heeft x64-modules en is in staat om gebruikers te misleiden om hun 2FA-codes te delen in valse pop-upvensters. De trojan gebruikt andere trucs om slachtoffers te overtuigen om een smartphone-app te downloaden.
“Het kan ook social engineering gebruiken om slachtoffers te overtuigen om een smartphone-app te downloaden. De groep achter Bizzaro maakt gebruik van servers die worden gehost op Azure en Amazon (AWS) en gecompromitteerde WordPress-servers om de malware op te slaan en telemetrie te verzamelen," het verslag onthuld.
Wat gebeurt er als Bizarro Trojan op een apparaat is geïnstalleerd?
Eenmaal geïnstalleerd, de trojan is ontworpen om alle actieve browserprocessen te stoppen en bestaande sessies met sites voor internetbankieren te beëindigen. Door dit te doen, de trojan verzekert dat wanneer een gebruiker een mobiel bankieren sessie opent, ze zullen opnieuw moeten inloggen, waardoor de malware de inloggegevens kan stelen. Bovendien, Bizarro schakelt ook de autocomplete-functie in de browser uit en gebruikt valse pop-ups om 2FA-codes te verzamelen. Naar boven dat af, de malware heeft een module voor het vastleggen van schermen.
[Bizar] laadt de magnification.dll-bibliotheek en haalt het adres op van de verouderde MagSetImageScalingCallback API-functie. Met zijn hulp, de trojan kan het scherm van een gebruiker vastleggen en ook constant het systeemklembord controleren, op zoek naar een Bitcoin-portefeuilleadres. Als het er een vindt, het wordt vervangen door een portemonnee van de malware-ontwikkelaars, Kaspersky legde uit.
Echter, het gevaarlijkste onderdeel van de Bizarro-trojan is de belangrijkste achterdeurmodule, in staat om meer te presteren dan 100 commando's.
Hoe werkt de achterdeurcomponent van Bizarro??
Allereerst, de achterdeur start pas als de trojan een verbinding detecteert met een van de hardgecodeerde systemen voor online bankieren. Zodra er een verbinding tot stand is gebracht, de trojan kan elk van zijn opdrachten uitvoeren.
Enkele van de belangrijkste commando's van Bizarro zijn de volgende:
- Commando's waarmee de command-and-control-serveroperators gegevens over het slachtoffer kunnen krijgen en de verbindingsstatus kunnen beheren;
- Commando's waarmee aanvallers de bestanden op de harde schijf van het slachtoffer kunnen beheren;
- Commando's waarmee aanvallers de muis en het toetsenbord van de gebruiker kunnen bedienen;
- Commando's waarmee de aanvallers de achterdeur kunnen besturen, afsluiten, herstart of vernietig het besturingssysteem en beperk de functionaliteit van Windows;
- Commando's die toetsaanslagen loggen;
- Commando's die social engineering-aanvallen uitvoeren.
Tenslotte: Bizarro's Trojan-operatie
Kaspersky-onderzoekers deelden ook dat ze een aantal banktrojans uit Zuid-Amerika hebben geobserveerd, die hun activiteiten voornamelijk uitbreiden naar Europese landen. De operators van Bizarro passen snel verschillende geavanceerde technische trucs toe om malware-analyse en -detectie ingewikkeld te maken. De slim ontworpen social engineering-tactieken toevoegen, de trojan lijkt volledig in staat slachtoffers te overtuigen om vrijwillig hun persoonlijke financiële gegevens te verstrekken.
Welke andere malware brengt Android-gebruikers in gevaar?
Enkele van de nieuwste malwarevoorbeelden uit het Android-dreigingslandschap omvatten de Flubot spyware, een wormbare malware vermomd als een Netflix-app genaamd FlixOnline, en de Ghimob-banktrojan.
De Ghimob-bankier, in het bijzonder, lijkt te zijn ontwikkeld door dezelfde cybercriminelen die de Astaroth Windows-malware hebben gecodeerd. Het is opmerkelijk dat hackers de officiële Google Play Store niet als distributiekanaal gebruikten. Hiertoe, de hackers implementeerden kwaadaardige Android-apps op sites en servers die eerder door Astaroth werden ingezet.
Eindelijk, eind december 2020, beveiligingsonderzoekers meldden een nieuw obfuscation-as-a-service-platform voor Android, cybercriminelen in staat stellen hun detectie-ontwijkingsmechanismen te verbeteren. Om een lang verhaal kort te maken, het blijkt dat hackers erin zijn geslaagd een volledig geautomatiseerd serviceplatform te ontwikkelen dat de mobiele malware Android Packet Kits beschermt (APK) van AV-detectie. De service is beschikbaar als eenmalige betaling of als een maandelijks terugkerend abonnement. Het is vertaald in het Engels en Russisch, hint naar zijn oorsprong.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: