Aan de linkerkant – origineel Sberbank van Rusland app, aan de rechterkant – nep-app; Image Source: TrendMicro
Fanta SDK is een van de nieuwste bedreigingen gericht op het Android-gebruikers. Deze bijzondere malware is vrij goed naar zichzelf te beschermen en verandert de gebruiker het apparaat PIN-code om hun apparaat te vergrendelen. In de tussentijd, de bankrekening van de gebruiker wordt geleegd.
Fanta SDK verscheen voor het eerst in december 2015, maar werd niet wijd verspreid toen en dus niet de krantenkoppen. Echter, Tijdens de afgelopen maanden de malware is verbeterd en is nu op een actievere.
Fanta SDK Android Malware Distribution
Net als bij andere vormen van malware, aanvallers zijn de distributie van de dreiging via spam e-mails. Hoe wordt de campagne plaatsvindt? De potentiële slachtoffer ontvangt een e-mail met vervalste e-mailadres van hun bank. Dan, zij zullen worden gevraagd om hun bankzaken app te werken omdat er een nieuwe update is uitgebracht. Huidige slachtoffers van Fanta SDK zijn uitsluitend gelegen in Rusland, en zijn afnemers van Sberbank van Rusland.
Fanta SDK Android Malware Beschrijving
TrendMicro is het beveiligingsbedrijf dat de dreiging geanalyseerd nadat ze een monster van een nep-banking app in Rusland verworven. Dit was inderdaad Fanta SDK. Zoals reeds geschreven, de malware verandert het wachtwoord van het apparaat wanneer het slachtoffer probeert te verwijderen of de app adminvoorrechten deactiveren.
Lees ook Android App Machtigingen en van uw telefoon Privacy
Fanta SDK heeft ook een zeldzame manier van het runnen van haar kwaadaardige routine door te wachten op commando's voorafgaand aan de aanval gelanceerd. TrendMicro schrijft dat:
Gebruikers kunnen krijgen Fanta SDK tegen kwaadaardige url links voor goedaardige app zoals “systeem”, evenals ze te downloaden van derden app stores. De boodschap zou een verhaal dat gebruikers zou vragen om de laatste versie van de bancaire app onmiddellijk om veiligheidsredenen kunt downloaden.
Zodra de app is gedownload en geïnstalleerd, de gebruiker wordt gevraagd om het admin privileges toe te kennen. Dit moet onmiddellijk waarschuwen de gebruiker van kwaadaardig gedrag, als legitieme toepassingen hebben admin rechten niet te vragen.
Zodra beheerdersrechten worden verkregen, Fanta SDK zal wachten op het potentieel slachtoffer van de mobiel bankieren app te starten. Deze nieuwste campagne van Fanta SDK is ingesteld op een phishing-pop-up weer te geven van de gebruiker bankgegevens te grijpen. Dan, de gebruiker wordt doorgestuurd naar de app.
Wanneer is een User's bankrekening succesvol geleegd?
Zodra de gebruiker “detecteert” het kwaadaardig gedrag van de bancaire app, ze zullen waarschijnlijk proberen om het te verwijderen. Echter, zij zullen niet in staat zijn om dit te doen, tenzij zij de beheerdersrechten verwijderen. Als dit wordt gedaan, de Fanta SDK wijzigt het wachtwoord van het apparaat, vergrendelen van het slachtoffer uit.
Zoals geschreven door TrendMicro onderzoekers:
Het is niet gemakkelijk voor gebruikers om het apparaat te ontgrendelen als de code door de malware is ingesteld. Een mogelijke manier is om het wachtwoord sleutel bestand onder ADB shell verwijderen. Maar dit vereist het apparaat is geworteld en USB debug is ingeschakeld.
Echter, beworteling een apparaat is zeldzaam in het echte leven om de volgende redenen:
- Weinig, indien, Android toestellen wortelen uit de doos
- Niet alle Android-apparaten kunnen worden uitgeroeid
- Beworteling een toestel is breaks garantie
Bovendien, de malware met succes zal legen van het slachtoffer bankrekening, vooral wanneer hij meerdere bankrekeningen.
Fanta SDK Gerelateerd aan Cridex, Ramnit en Zbot Banking Trojans
Niet verrassend, de Android malware is aangesloten op de infrastructuur van kwaadaardige campagnes leveren Cridex, Ramnit, en Zbot banking Trojans:
Nader onderzoek van de C&C server leidde ons naar het IP-adres 81.177.139.62. Het IP-adres is een parkeerplaats domein, hosting verschillende andere malware, waaronder ransomware, Ramnit, CRIDEX, en Zbot. We zijn nog aan het onderzoeken op dit gebied in de hoop om een verband tussen de daders achter de nep-bank app en de andere malware verspreid in het IP-adres te vinden.
Hoe Ter bescherming van uw Android-telefoon van Fanta SDK
TrendMicro's onderzoek blijkt dat de meest recente Sberbank app is bijgewerkt om malware te detecteren, terwijl oude versies kan niet. Gelukkig, het bedrijf heeft al contact opgenomen met de bank, hen te informeren over de bedreiging van de veiligheid.
Als je een klant van deze bank, moet u overwegen het actualiseren van haar app via de algemene website van de bank.
Als een bank of creditcard provider verzoeken die gebruikers het downloaden van een nieuwe versie van een app, doe dat veilig door het downloaden van de app op de homepage van.
Ook, vergeet niet dat je Android-apparaat nodig heeft anti-malware bescherming, evenals uw personal computer.
Lees ook SpyLocker Android Trojan Na Klanten van banken in de EU
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: