Η Comodo εντοπίζει νέα οικογένεια εξελιγμένων χρηματοοικονομικών κακόβουλων προγραμμάτων

Χρόνος διαβασματός: 3 πρακτικά

Comodo Εργαστήρια Έρευνας Απειλών (CTRL) ανακοίνωσε ότι εντόπισε μια νέα οικογένεια οικονομικό κακόβουλο λογισμικό μεταγλωττίστηκε ως "Gugi/Fanta/Lime". Είναι ένα εξελιγμένο Τραπεζικό Trojan που μπορεί να παρακάμψει τα τυπικά πρωτόκολλα ασφαλείας ενός λειτουργικού συστήματος Android (έκδοση 6) και να αναλάβει το λειτουργικό σύστημα. Το οικονομικό κακόβουλο λογισμικό αναζητά προνόμια συστήματος και διαπιστευτήρια χρήστη και μόλις τα αποκτήσει αποκτά τον πλήρη έλεγχο της συσκευής Android.

Το CTRL εντόπισε ότι το κακόβουλο λογισμικό είναι ενεργό στη Ρωσία. Αυτός ο Trojan τοποθετεί ένα επίπεδο προγράμματος διεπαφής με αυθεντική εμφάνιση πλαστών σε μια γνήσια εφαρμογή, όπως το Google Play Store ή άλλες εφαρμογές mobile banking. Ξεγελά τους χρήστες και τους κάνει να πιστεύουν ότι η διεπαφή είναι γνήσια και τους κάνει να αποκαλύπτουν τα διαπιστευτήρια σύνδεσής τους και άλλες ευαίσθητες πληροφορίες, όπως στοιχεία πιστωτικής και χρεωστικής κάρτας.

Πώς λαμβάνει χώρα η μόλυνση από κακόβουλο λογισμικό

Κυνοί εγκληματίες χρησιμοποιούν κοινωνική μηχανική και phishing για την έναρξη της μόλυνσης. Στέλνουν ανεπιθύμητα μηνύματα που περιέχουν υπερσύνδεσμο. Εάν ο χρήστης δεν είναι αρκετά επιφυλακτικός και κάνει κλικ στον υπερσύνδεσμο, τότε ο χρήστης μεταφέρεται σε κακόβουλο ιστότοπο και του ζητείται να κάνει κλικ σε έναν άλλο σύνδεσμο. Κάνοντας κλικ ξεκινά η λήψη του Trojan-Banker.AndroidOS.Gugi.c στη συσκευή του χρήστη.

Το Trojan "Gugi/Fanta/Lime" αναζητά τώρα την άδεια του χρήστη – καθώς από την έκδοση Android 6 απαιτείται ρητή άδεια του χρήστη/κατόχου της συσκευής για ορισμένες άδειες για εφαρμογές καθώς και για την υπέρθεση οθονών/παραθύρων σε άλλες εφαρμογές. Εάν ο χρήστης χορηγήσει άδεια τότε το Trojan επικαλύπτει τη διεπαφή αυθεντικών εφαρμογών Google Play Store και άλλων εφαρμογών mobile banking με παράθυρα phishing για κλοπή διαπιστευτηρίων χρήστη.

Το κακόβουλο λογισμικό «αναγκάζει» τον χρήστη να εκχωρήσει όλα τα απαραίτητα δικαιώματα. Ενώ το μήνυμα στην οθόνη αναζητά φαινομενικά αυθεντικά αιτήματα άδειας, στην πραγματικότητα το Trojan αναζητά δικαιώματα για επικάλυψη εφαρμογής, δικαιώματα διαχειριστή συσκευής. αποστολή, προβολή και λήψη SMS και MMS. να πραγματοποιεί κλήσεις, να διαβάζει και να γράφει επαφές και όλα τα άλλα δικαιώματα που επιθυμεί. ο Fanta Trojan ζητά επίσης άδεια για BuildConfig, HindeKeybroad και ContextThemeWrapper. Το κακόβουλο λογισμικό αποκτά στοιχεία τηλεφώνου όπως το IMEI (International Mobile Equipment Identity), το IMSI (International Mobile Subscriber ID), το SubscriberId, το SimOperatorName και το SimCountryIso.

Εάν ο χρήστης αρνηθεί την άδεια ανά πάσα στιγμή, τότε το Trojan "Gugi/Fanta/Lime" θα μπλοκάρει εντελώς τη μολυσμένη συσκευή. Για να ανακτήσει την πρόσβαση στη συσκευή, ο χρήστης δεν έχει άλλη επιλογή εκτός από την επανεκκίνηση σε ασφαλή λειτουργία και στη συνέχεια να προσπαθήσει να αφαιρέσει/απεγκαταστήσει το Trojan χρησιμοποιώντας λύσεις ασφάλειας.

Ο Trojan στέλνει ένα SMS σε έναν διακομιστή Command and Control (CnC) για να δημιουργήσει επαφή. Χρησιμοποιεί το πρωτόκολλο WebSocket για αλληλεπίδραση με τους διακομιστές CnC του. Το κακόβουλο λογισμικό επικαλύπτει πλέον αυθεντικές οθόνες εφαρμογών με παράθυρα phishing και κλέβει όλες τις πληροφορίες που εισάγονται στις οθόνες – σε αυτές περιλαμβάνονται τα διαπιστευτήρια σύνδεσης και τα στοιχεία της κάρτας.

Το Trojan "Gugi/Fanta/Lime" έχει χρησιμοποιηθεί κυρίως για επίθεση σε χρήστες στη Ρωσία μέχρι τώρα, και λαμβάνοντας υπόψη την ισχύ του, μπορεί να αναμένεται ότι θα χρησιμοποιηθεί σε όλο τον κόσμο στο μέλλον.

Πώς να παραμείνετε προστατευμένοι;

• Εκπαίδευση χρήστη/εργαζομένων για κυβερνασφάλεια
• Οι χρήστες δεν πρέπει να κάνουν κλικ σε συνδέσμους σε SMS από άγνωστες πηγές ή να ανοίγουν συνημμένα από άγνωστες πηγές.
• Θα ήταν ασφαλέστερο να μην κάνετε κλικ σε κανέναν σύνδεσμο σε κανένα SMS. Η πραγματική επέκταση της υπερ-σύνδεσης μπορεί να επαληθευτεί και στη συνέχεια να ανοίξει.
• Να είστε προσεκτικοί όσον αφορά την παροχή αδειών.
• Εάν μια εφαρμογή ζητά προνομιακή πρόσβαση, τότε να είστε ιδιαίτερα προσεκτικοί πριν παρέχετε τα δικαιώματα.
• Phishing Τα SMS και τα μηνύματα ενδέχεται να προέρχονται από πλαστά γνήσια αναγνωριστικά. Να είστε συνειδητοί και επιφυλακτικοί για τέτοιες προσπάθειες.

Αρχίστε την Δωρεάν σας δοκιμή ΔΩΡΕΑΝ ΑΚΡΙΒΩΣ ΑΚΡΙΒΕΙΑ ΣΑΣ ΑΣΦΑΛΕΙΑΣ

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://blog.comodo.com/comodo-news/comodo-detects-new-sophisticated-financial-malware/