A Comodo kifinomult pénzügyi kártevők új családját észleli

Olvasási idő: 3 jegyzőkönyv

Comodo Fenyegetéskutató laboratóriumok (CTRL) bejelentette, hogy egy új családot észlelt pénzügyi kártevő „Gugi/Fanta/Lime” néven. Ez egy kifinomult banki trójai, amely képes megkerülni az Android operációs rendszer (6-os verzió) szabványos biztonsági protokolljait, és átveszi az operációs rendszert. A pénzügyi kártevő rendszerjogosultságokat és felhasználói hitelesítő adatokat keres, és miután megszerezte ezeket, teljes irányítást szerez az Android készülék felett.

A CTRL azt észlelte, hogy a kártevő aktív Oroszországban. Ez a trójai hiteles megjelenésű, hamisított felületű programréteget helyez el az eredeti alkalmazások, például a Google Play Áruház vagy más mobilbanki alkalmazások fölé. Becsapja a felhasználókat, és elhiteti velük, hogy az interfész valódi, és felfedi bejelentkezési adataikat és egyéb érzékeny információkat, például hitelkártya- és bankkártyaadatokat.

Hogyan történik a rosszindulatú programok fertőzése

A kiberbűnözők szociális manipulációt és adathalászatot alkalmaznak a fertőzés elindításához. Hiperhivatkozást tartalmazó spam üzeneteket küldenek. Ha a felhasználó nem elég óvatos, és rákattint a hiperhivatkozásra, akkor a felhasználó egy rosszindulatú webhelyre kerül, és megkérik, hogy kattintson egy másik hivatkozásra. A kattintással elindul a Trojan-Banker.AndroidOS.Gugi.c letöltése a felhasználó eszközére.

A „Gugi/Fanta/Lime” trójai most a felhasználó engedélyét kéri – mivel az Android 6-os verziójától az eszköz felhasználóinak/tulajdonosának kifejezett engedélye szükséges az alkalmazások bizonyos engedélyeihez, valamint a képernyők/ablakok más alkalmazások fölé helyezéséhez. Ha a felhasználó megadja az engedélyt, akkor a trójai lefedi az autentikus Google Play Áruház-alkalmazások és más mobilbanki alkalmazások felületét adathalász ablakokkal a felhasználói hitelesítő adatok ellopásához.

A rosszindulatú program valójában „kényszeríti” a felhasználót az összes szükséges engedély megadására. Míg a képernyőn megjelenő üzenet látszólag hiteles engedélykéréseket keres, a trójai valójában alkalmazásfedvényhez, eszközadminisztrátori jogokhoz kér engedélyeket; SMS és MMS küldése, megtekintése és fogadása; hívásokat kezdeményezhet, névjegyeket olvashat és írhat, és minden egyéb jogot, amire szüksége van. A Fanta trójai engedélyt kér a BuildConfig, a HindeKeybroad és a ContextThemeWrapper programokhoz is. A kártevő olyan telefonadatokat szerez meg, mint az IMEI (International Mobile Equipment Identity), IMSI (International Mobile Subscriber Identity), SubscriberId, SimOperatorName és SimCountryIso.

Ha a felhasználó bármikor megtagadja az engedélyt, akkor a „Gugi/Fanta/Lime” trójai teljesen blokkolja a fertőzött eszközt. Az eszközhöz való hozzáférés visszaszerzéséhez a felhasználónak nincs más lehetősége, mint csökkentett módban történő újraindítása, majd a trójai eltávolítása/eltávolítása. biztonsági megoldások.

A trójai SMS-t küld a Command and Control (CnC) szervernek a kapcsolatfelvétel céljából. A WebSocket protokollt használja a CnC-kiszolgálóival való interakcióhoz. A rosszindulatú program immár adathalász ablakokkal fedi le az autentikus alkalmazások képernyőit, és ellopja a képernyőkön beírt összes információt – ideértve a bejelentkezési adatokat és a kártyaadatokat is.

A „Gugi/Fanta/Lime” trójai mindeddig elsősorban Oroszországban használták a felhasználók támadására, és potenciálját tekintve a jövőben várhatóan világszerte alkalmazzák.

Hogyan maradj védett?

• Felhasználó/munkavállaló oktatása bekapcsolva kiberbiztonság
• A felhasználók nem kattinthatnak az SMS-ben ismeretlen forrásból származó hivatkozásokra, és nem nyithatnak meg ismeretlen forrásból származó mellékleteket.
• Biztonságosabb lenne, ha egyetlen SMS-ben sem kattintana egyetlen linkre sem. A hiperhivatkozás valódi kiterjesztése ellenőrizhető, majd megnyitható.
• Legyen óvatos az engedélyek megadásával.
• Ha egy alkalmazás privilegizált hozzáférést kér, legyen fokozottan óvatos az engedélyek megadása előtt.
• Adathalászat Az SMS-ek és levelek hamisított valódi azonosítóktól származhatnak. Legyen tudatos és óvatos az ilyen kísérletekkel kapcsolatban.

INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://blog.comodo.com/comodo-news/comodo-detects-new-sophisticated-financial-malware/