Comodo tuvastab uue keeruka finantspahavara perekonna

Lugemisaeg: 3 protokoll

Comodo Ohuuuringute laborid (CTRL) teatas, et on tuvastanud uue perekonna finantspahavara dubleeritud kui "Gugi/Fanta/Lime". See on keerukas pangandustroojalane, mis suudab mööda minna Androidi operatsioonisüsteemi (versioon 6) standardsetest turvaprotokollidest ja võtta operatsioonisüsteemi üle. Finantspahavara otsib süsteemi privileege ja kasutaja mandaate ning kui see saab need, omandab see Android-seadme üle täieliku kontrolli.

CTRL tuvastas, et pahavara on Venemaal aktiivne. See troojalane asetab autentse välimusega võltsitud liidese programmikihi ehtsale rakendusele, nagu Google Play pood või muud mobiilipanga rakendused. See petab kasutajaid ja paneb nad uskuma, et liides on ehtne ning paneb nad avaldama oma sisselogimismandaate ja muud tundlikku teavet, nagu krediit- ja deebetkaardiandmed.

Kuidas pahavaraga nakatumine toimub

Küberkurjategijad kasutada nakatumise algatamiseks sotsiaalset manipuleerimist ja andmepüüki. Nad saadavad välja hüperlinki sisaldavaid rämpsposti. Kui kasutaja ei ole piisavalt ettevaatlik ja klõpsab hüperlingil, suunatakse kasutaja pahatahtlikule veebisaidile ja palutakse klõpsata teisel lingil. Klõpsamine käivitab faili Trojan-Banker.AndroidOS.Gugi.c allalaadimise kasutaja seadmesse.

"Gugi/Fanta/Lime" troojalane otsib nüüd kasutaja luba – alates Androidi versioonist 6 on teatud rakenduste lubade ja ka ekraanide/akende katmiseks muude rakenduste jaoks vajalik seadme kasutaja/omaniku selgesõnaline luba. Kui kasutaja annab loa, siis Trojan katab autentsete Google Play poe rakenduste ja muude mobiilipanga rakenduste liidese andmepüügiakendega kasutaja mandaatide varastamiseks.

Pahavara tegelikult "sunnib" kasutajat andma kõik vajalikud õigused. Kui ekraanil kuvatav sõnum otsib näiliselt autentseid loataotlusi, siis tegelikult otsib trooja luba rakenduste ülekatte jaoks, seadme administraatori õigusi; SMS-i ja MMS-i saatmine, vaatamine ja vastuvõtmine; helistada, kontakte lugeda ja kirjutada ning kõiki muid soovitud õigusi. The Fanta troojalane taotleb luba ka BuildConfigi, HindeKeybroadi ja ContextThemeWrapperi jaoks. Pahavara hangib telefoni üksikasju, nagu IMEI (rahvusvaheline mobiilsideseadme identiteet), IMSI (rahvusvaheline mobiiliabonendi identiteet), SubscriberId, SimOperatorName ja SimCountryIso.

Kui kasutaja keeldub igal ajal loa andmisest, blokeerib "Gugi/Fanta/Lime" troojalane nakatunud seadme täielikult. Seadmele juurdepääsu taastamiseks ei ole kasutajal muud võimalust kui turvarežiimis taaskäivitada ja seejärel proovida troojalast eemaldada/desinstallida, kasutades turvalisuse lahendused.

Troojalane saadab kontakti loomiseks SMS-i käsu- ja juhtimisserverisse (CnC). See kasutab oma CnC-serveritega suhtlemiseks protokolli WebSocket. Pahavara katab nüüd autentsed rakenduste ekraanid andmepüügiakendega ja varastab kogu teabe, mis ekraanidele sisestatakse – sealhulgas sisselogimismandaadid ja kaardiandmed.

Troojalast “Gugi/Fanta/Lime” on seni kasutatud peamiselt Venemaa kasutajate ründamiseks ning selle tugevust arvestades võib eeldada, et seda hakatakse tulevikus kasutama kogu maailmas.

Kuidas kaitsta end?

• Kasutaja/töötaja haridus on sisse lülitatud küberturvalisus
• Kasutajad ei tohi klõpsata tundmatutest allikatest pärinevatel SMS-i linkidel ega avada tundmatutest allikatest pärinevaid manuseid.
• Kindlam oleks mitte üheski SMS-is mitte ühelegi lingile vajutada. Hüperlingi tõelist laienemist saab kontrollida ja seejärel avada.
• Olge lubade andmisel ettevaatlik.
• Kui rakendus küsib privilegeeritud juurdepääsu, olge enne lubade andmist eriti ettevaatlik.
• Phishing SMS-id ja kirjad võivad pärineda võltsitud ehtsatest ID-dest. Olge selliste katsete suhtes teadlik ja ettevaatlik.

ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://blog.comodo.com/comodo-news/comodo-detects-new-sophisticated-financial-malware/