MoneyMonger-niminen Android-haittaohjelmakampanja on löydetty piilotettuna Flutterilla kehitetyistä rahanlainaussovelluksista. Se on vertauskuva siitä, että kuluttajiin kohdistuva kiristysvirta lisääntyy – ja myös heidän työnantajansa kokevat vaikutukset.
Zimperium zLabs -tiimin tutkimuksen mukaan haittaohjelma käyttää useita sosiaalisen suunnittelun kerroksia hyödyntääkseen uhrejaan ja sallii haitallisten toimijoiden varastaa henkilökohtaisia tietoja henkilökohtaisista laitteista ja käyttää niitä sitten henkilöiden kiristämiseen.
Zimperiumin tutkijoiden mukaan MoneyMonger-haittaohjelma, jota jaetaan kolmansien osapuolien sovelluskauppojen kautta ja ladattiin uhrien Android-laitteille, rakennettiin alusta alkaen haitalliseksi ja kohdistettiin nopeasti käteistä tarvitseville. Se käyttää useita sosiaalisen suunnittelun kerroksia hyödyntääkseen uhrejaan alkaen saalistuslainaohjelmasta ja lupaamalla nopeaa rahaa niille, jotka noudattavat muutamia yksinkertaisia ohjeita.
Sovellusta määritettäessä uhrille kerrotaan, että mobiilipäätepisteeseen tarvitaan luvat varmistaakseen, että hän on hyvässä asemassa lainan saamiseksi. Näitä lupia käytetään sitten tietojen keräämiseen ja suodattamiseen, mukaan lukien yhteystietoluettelosta, GPS-sijaintitiedot, asennettujen sovellusten luettelo, äänitallenteet, puhelulokit, tekstiviestiluettelot sekä tallennus- ja tiedostoluettelot. Se saa myös pääsyn kameraan.
Näitä varastettuja tietoja käytetään kiristämään ja uhkaamaan uhreja maksamaan liian korkeita korkoja. Jos uhri ei maksa ajallaan ja joissain tapauksissa jopa lainan takaisinmaksun jälkeen, pahantahtoiset toimijat uhkaavat paljastaa tietoja, soittaa henkilöille yhteystietoluettelosta ja jopa lähettää kuvia laitteesta.
Yksi tämän haittaohjelman uusista ja mielenkiintoisista asioista on se, kuinka se piilottaa haitallisen koodin Flutter-ohjelmistokehityspaketin avulla.
Vaikka avoimen lähdekoodin käyttöliittymän (UI) ohjelmistopaketti Flutter on ollut pelien muuttaja sovelluskehittäjille, haitalliset toimijat ovat myös hyödyntäneet sen ominaisuuksia ja puitteita ja ottaneet käyttöön sovelluksia, joissa on kriittisiä tietoturva- ja tietosuojariskejä aavistamattomille uhreille.
Tässä tapauksessa MoneyMonger hyödyntää Flutterin kehystä hämärtääkseen haitalliset ominaisuudet ja vaikeuttaakseen haitallisen toiminnan havaitsemista staattisen analyysin avulla, Zimperiumin tutkijat selittivät 15. joulukuuta blogikirjoitus.
Yrityksille aiheutuva riski johtuu laajasta kerätystä tiedosta
Zimperiumin mobiiliuhkien tiedustelujohtaja Richard Melick kertoo Dark Readingille, että rahanlainaussovelluksia käyttävät kuluttajat ovat suurimmassa vaarassa, mutta tämän uhan luonteen ja sen, kuinka hyökkääjät varastavat arkaluontoisia tietoja kiristystä varten, he pakottavat myös työnantajansa tai minkä tahansa organisaation. he työskentelevät myös riskiryhmien kanssa.
"MoneyMongerin takana olevien hyökkääjien on erittäin helppoa varastaa tietoja yrityksen sähköpostista, ladatuista tiedostoista, henkilökohtaisista sähköpostiviesteistä, puhelinnumeroista tai muista puhelimessa olevista yrityssovelluksista ja käyttää niitä uhrien kiristämiseen", hän sanoo.
Melick sanoo, että MoneyMonger on riski yksilöille ja yrityksille, koska se kerää uhrin laitteelta monenlaista dataa, mukaan lukien mahdollisesti arkaluontoista yritykseen liittyvää materiaalia ja omistusoikeudellisia tietoja.
"Jokainen yritystietoihin yhdistetty laite muodostaa riskin yritykselle, jos työntekijä joutuu MoneyMongerin saalistuslainahuijauksen uhriksi kyseisellä laitteella", hän sanoo. "Tämän saalistuslainan uhrit saattavat joutua varastamaan maksaakseen kiristyksen tai olla ilmoittamatta kriittisten yritystietojen varastamista kampanjan takana olevien pahantahtoisten toimijoiden toimesta."
Melick sanoo, että henkilökohtaiset mobiililaitteet edustavat merkittävää osoitteetonta hyökkäysalustaa yrityksille. Hän huomauttaa, että mobiilihaittaohjelmat vain kehittyvät entisestään, ja ilman uhkaa telemetriaa ja kriittistä puolustusta, jotka vastustavat tätä kasvavaa haitallisen toiminnan osajoukkoa, yritykset ja niiden työntekijät ovat vaarassa.
"Riippumatta siitä, ovatko ne yrityksen omistamia tai osa BYOD-strategiaa, turvallisuuden tarve on kriittinen pysyä MoneyMongerin ja muiden kehittyneiden uhkien edessä", hän sanoo. "Koulutus on tässä vain osa avainta ja teknologia voi täyttää aukot minimoiden MoneyMongerin ja muiden uhkien aiheuttaman riskin ja hyökkäyspinnan."
On myös tärkeää muistaa välttää sovellusten lataamista epävirallisista sovelluskaupoista. Virallisissa kaupoissa, kuten Google Playssa, on käyttäjille suojauksia, Googlen tiedottaja korosti Dark Readingille.
"Mikään raportissa tunnistetuista haitallisista sovelluksista ei ole Google Playssa", hän sanoi. "Google Play Protect tarkistaa Android-laitteista, joissa on Google Play Palvelut, mahdollisten haitallisten sovellusten varalta muista lähteistä. Google Play Protect varoittaa käyttäjiä, jotka yrittävät asentaa tai käynnistää sovelluksia, jotka on tunnistettu haitallisiksi."
Pankkitroijalaisten elpyminen
MoneyMonger-haittaohjelma seuraa uudelleensyntymistä Android-pankkitoiminta Troijalainen SOVA, joka sisältää nyt päivitettyjä ominaisuuksia ja kehitteillä olevan lisäversion, joka sisältää kiristysohjelmamoduulin.
Muut pankkitroijalaiset ovat nousseet uudelleen esiin päivitetyillä ominaisuuksilla, jotka auttavat ohittamaan turvallisuuden, mukaan lukien Emotet, joka ilmestyi uudelleen aikaisemmin kesällä edistyneemmässä muodossa sen jälkeen, kun yhteinen kansainvälinen työryhmä lopetti sen tammikuussa 2021.
Nokian 2021”Uhkatiedusteluraportti” varoitti, että pankkihaittaohjelmauhat ovat lisääntymässä jyrkästi, kun kyberrikolliset kohdistavat mobiilipankkitoiminnan kasvavaan suosioon älypuhelimissa juoneilla, joiden tarkoituksena on varastaa henkilökohtaisia pankkitunnuksia ja luottokorttitietoja.
Kiristysuhkien odotetaan jatkuvan vuonna 2023
Melick huomauttaa, että kiristys ei ole uutta haitallisille toimijoille, kuten on nähty kiristysohjelmien hyökkäyksissä ja tietomurroissa maailmanlaajuisesti.
– Kiristyksen käyttö näin henkilökohtaisella tasolla yksittäisiin uhreihin kohdistettuna on kuitenkin hieman uusi lähestymistapa, joka vaatii henkilöstö- ja aikainvestointeja, hän sanoo. "Mutta se maksaa itsensä takaisin, ja MoneyMongerin ja muiden tämän kaltaisten saalistushuijausten ympärillä tehtyjen arvostelujen ja valitusten perusteella se vain jatkuu."
Hän ennustaa, että markkina- ja taloudellinen tilanne saa jotkut ihmiset epätoivoisesti etsimään tapoja maksaa laskuja tai saada ylimääräistä rahaa.
"Aivan kuten näimme saalistushuijausten nousevan viime taantuman aikana", hän sanoo, "on lähes taattu, että tämä varkaus- ja kiristysmalli jatkuu vuonna 2023."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
