A MoneyMonger névre keresztelt androidos rosszindulatú kampányt találtak elrejtve a Flutter segítségével fejlesztett pénzkölcsönző alkalmazásokban. Ez jelképezi a fogyasztókat célzó kiberbűnözők zsarolásának növekvő hullámát – és a munkaadóik is érzik a hatásokat.
A Zimperium zLabs csapatának kutatása szerint a rosszindulatú program több rétegű társadalmi manipulációt használ, hogy kihasználja áldozatait, és lehetővé teszi a rosszindulatú szereplők számára, hogy személyes adatokat lopjanak el személyes eszközökről, majd ezeket az információkat egyének zsarolására használják.
A Zimperium kutatói szerint a MoneyMonger kártevő, amelyet harmadik féltől származó alkalmazásboltokon keresztül terjesztenek, és az áldozatok Android-eszközeire töltik fel, az alapoktól kezdve rosszindulatúnak készült, és a gyors készpénzre szorulókat célozta meg. A társadalmi tervezés több rétegét alkalmazza, hogy kihasználja áldozatait, kezdve egy ragadozó hitelkonstrukcióval, és gyors pénzt ígér azoknak, akik követik néhány egyszerű utasítást.
Az alkalmazás beállítása során az áldozatot tájékoztatják arról, hogy engedélyekre van szükség a mobil végponton, hogy megbizonyosodjon arról, hogy a hitelfelvételhez jó minősítést kap. Ezeket az engedélyeket azután adatok gyűjtésére és kiszűrésére használják, beleértve a névjegyzékből, a GPS helyadatokat, a telepített alkalmazások listáját, a hangfelvételeket, a hívásnaplókat, az SMS-listákat, valamint a tárhely- és fájllistákat. Kamera hozzáférést is kap.
Ezt az ellopott információt az áldozatok zsarolására és túlzottan magas kamatok fizetésével fenyegetik. Ha az áldozat nem fizet időben, sőt esetenként a kölcsön visszafizetése után is, a rosszindulatú szereplők információk felfedésével, a névjegyzékből való felhívással, sőt fényképek küldésével fenyegetőznek a készülékről.
Az egyik új és érdekes dolog ezzel a rosszindulatú programmal kapcsolatban, hogy a Flutter szoftverfejlesztő készlet segítségével elrejti a rosszindulatú kódokat.
Míg a nyílt forráskódú felhasználói felület (UI) szoftverkészlet, a Flutter játékmódot jelentett az alkalmazásfejlesztők számára, a rosszindulatú szereplők is kihasználták annak képességeit és keretrendszerét, és kritikus biztonsági és adatvédelmi kockázatokat rejtő alkalmazásokat telepítettek a gyanútlan áldozatokra.
Ebben az esetben a MoneyMonger kihasználja a Flutter keretrendszerét, hogy elhomályosítsa a rosszindulatú funkciókat, és megnehezítse a rosszindulatú tevékenységek statikus elemzéssel történő észlelését – magyarázták a Zimperium kutatói December 15-i blogbejegyzés.
A vállalatok kockázata az összegyűjtött adatok széles skálájából fakad
Richard Melick, a Zimperium mobil fenyegetésekkel foglalkozó hírszerzési igazgatója a Dark Readingnek azt mondta, hogy a pénzkölcsönző alkalmazásokat használó fogyasztók vannak a legnagyobb veszélyben, de ennek a fenyegetésnek a természetéből és abból adódóan, hogy a támadók hogyan lopnak el bizalmas információkat zsarolás céljából, munkaadóikat vagy bármely szervezetet is megviselnek. kockázattal is dolgoznak.
„A MoneyMonger mögött álló támadók nagyon könnyen ellophatnak információkat vállalati e-mailekből, letöltött fájlokból, személyes e-mailekből, telefonszámokból vagy más vállalati alkalmazásokból a telefonon, és ezzel áldozataikat zsarolhatják ki” – mondja.
Melick szerint a MoneyMonger kockázatot jelent az egyének és a vállalkozások számára, mert sokféle adatot gyűjt az áldozat eszközéről, beleértve a potenciálisan érzékeny vállalati anyagokat és a védett információkat.
„Minden eszköz, amely a vállalati adatokhoz kapcsolódik, kockázatot jelent a vállalat számára, ha egy alkalmazott áldozatául esik a MoneyMonger ragadozó kölcsöncsalásnak ezen az eszközön” – mondja. "A felfaló kölcsön áldozatai lopásra kényszerülhetnek, hogy kifizessék a zsarolást, vagy ne jelentsék be a kritikus vállalati adatok ellopását a kampány mögött álló rosszindulatú szereplők által."
Melick szerint a személyes mobileszközök jelentős, cím nélküli támadási felületet jelentenek a vállalatok számára. Rámutat arra, hogy a mobileszközök elleni rosszindulatú programok egyre fejlettebbek, és a fenyegető telemetria és a kritikus védelem nélkül a rosszindulatú tevékenységek e növekvő részével szemben a vállalatok és alkalmazottaik veszélyben vannak.
„Nem számít, hogy vállalati tulajdonban vannak-e vagy egy BYOD-stratégia részét képezik, a biztonság iránti igény kritikus fontosságú ahhoz, hogy a MoneyMonger és más fejlett fenyegetések előtt maradjunk” – mondja. „Az oktatás csak egy része a kulcsnak, és a technológia pótolhatja a hiányosságokat, minimalizálva a MoneyMonger és más fenyegetések kockázatát és támadási felületét.”
Azt is fontos megjegyezni, hogy ne töltsön le alkalmazásokat nem hivatalos alkalmazásboltokból; A hivatalos áruházak, mint például a Google Play, rendelkeznek védelemmel a felhasználók számára – hangsúlyozta a Google szóvivője a Dark Readingnek.
„A jelentésben szereplő azonosított rosszindulatú alkalmazások egyike sem található meg a Google Playen” – mondta. „A Google Play Protect ellenőrzi a Google Play szolgáltatásokkal rendelkező Android-eszközöket, hogy vannak-e potenciálisan káros alkalmazások más forrásokból. A Google Play Protect figyelmezteti azokat a felhasználókat, akik rosszindulatúnak minősített alkalmazásokat próbálnak telepíteni vagy elindítani."
A banki trójaiak újjáéledése
A MoneyMonger malware követi az újjáéledését a Android banki trójai SOVA, amely most frissített képességekkel és egy további fejlesztés alatt álló verzióval rendelkezik, amely ransomware modult tartalmaz.
Más banki trójaiak frissített funkciókkal jelentek meg, hogy segítsenek túllépni a biztonságon, köztük az Emotet, amely újra megjelent. a nyár elején fejlettebb formában, miután 2021 januárjában egy közös nemzetközi munkacsoport leváltotta.
Nokia 2021”Fenyegetés-hírszerzési jelentés” figyelmeztetett, hogy a banki rosszindulatú programokkal való fenyegetettség meredeken növekszik, mivel a kiberbűnözők az okostelefonokon történő mobilbanki szolgáltatások növekvő népszerűségét veszik célba személyes banki hitelesítő adatok és hitelkártyaadatok ellopását célzó összeesküvésekkel.
A zsarolási fenyegetések várhatóan 2023-ban is folytatódnak
Melick rámutat, hogy a zsarolás nem újdonság a rosszindulatú szereplők számára, ahogyan ez a ransomware-támadásoknál és az adatszivárgásoknál is megfigyelhető volt globális szinten.
„A zsarolás ilyen személyes szinten, az egyes áldozatokat célzó alkalmazása azonban kissé újszerű megközelítés, amely személyzeti és időbefektetést igényel” – mondja. "De kifizetődő, és a MoneyMongerrel és más, ehhez hasonló ragadozó hitelcsalásokkal kapcsolatos vélemények és panaszok száma alapján ez csak folytatódik."
Azt jósolja, hogy a piaci és pénzügyi körülmények miatt néhány ember kétségbeesetten keresi majd a számlák kifizetésének vagy a plusz készpénz megszerzésének módját.
„Ahogyan a legutóbbi recesszióban is láttuk, hogy a felfaló hitelezési csalások felszaporodtak – mondja –, szinte garantált, hogy a lopás és a zsarolás eme modellje 2023-ban is folytatódni fog.”
