קמפיין תוכנה זדוני אנדרואיד המכונה MoneyMonger נמצא מוסתר באפליקציות להלוואות כסף שפותחו באמצעות Flutter. זה סמל לגל מתגבר של סחיטה של פושעי סייבר המכוונים לצרכנים - וגם המעסיקים שלהם מרגישים את ההשפעות.
על פי מחקר של צוות Zimperium zLabs, התוכנה הזדונית משתמשת בשכבות מרובות של הנדסה חברתית כדי לנצל את הקורבנות שלה ומאפשרת לשחקנים זדוניים לגנוב מידע פרטי ממכשירים אישיים, ולאחר מכן להשתמש במידע זה כדי לסחוט אנשים.
התוכנה הזדונית MoneyMonger, המופצת דרך חנויות אפליקציות של צד שלישי ומוטענת על גבי מכשירי האנדרואיד של הקורבנות, נבנתה מהיסוד כדי להיות זדונית, מכוונת לאלו הזקוקים למזומנים מהירים, לפי חוקרי Zimperium. היא משתמשת בשכבות מרובות של הנדסה חברתית כדי לנצל את הקורבנות שלה, מתחילה בתכנית הלוואות טורפות ומבטיחה כסף מהיר למי שעוקב אחר כמה הוראות פשוטות.
בתהליך הקמת האפליקציה, נאמר לקורבן שדרושות הרשאות בנקודת הקצה הניידת כדי להבטיח שהם במצב ניהול תקין כדי לקבל הלוואה. הרשאות אלו משמשות לאחר מכן לאיסוף ולחלץ נתונים, כולל מרשימת אנשי הקשר, נתוני מיקום GPS, רשימה של אפליקציות מותקנות, הקלטות קול, יומני שיחות, רשימות SMS ורשימות אחסון וקבצים. זה גם מקבל גישה למצלמה.
המידע הגנוב הזה משמש לסחיטה ולאיים על קורבנות לשלם ריביות גבוהות מדי. אם הנפגע לא מצליח לשלם בזמן, ובמקרים מסוימים גם לאחר החזר ההלוואה, השחקנים הזדוניים מאיימים לחשוף מידע, להתקשר לאנשים מרשימת אנשי הקשר ואף לשלוח תמונות מהמכשיר.
אחד הדברים החדשים והמעניינים בתוכנה הזדונית הזו הוא האופן שבו היא משתמשת בערכת פיתוח התוכנה של Flutter כדי להסתיר קוד זדוני.
בעוד ערכת התוכנה של ממשק המשתמש בקוד פתוח (UI) Flutter שימשה שינוי משחק עבור מפתחי יישומים, שחקנים זדוניים ניצלו גם את היכולות והמסגרת שלה, תוך פריסת אפליקציות עם סיכוני אבטחה ופרטיות קריטיים לקורבנות תמימים.
במקרה זה, MoneyMonger מנצל את המסגרת של Flutter כדי לטשטש תכונות זדוניות ולסבך את זיהוי פעילות זדונית על ידי ניתוח סטטי, הסבירו חוקרי Zimperium ב- פוסט בבלוג ב-15 בדצמבר.
הסיכון לארגונים נובע ממגוון רחב של נתונים שנאספו
ריצ'רד מליק, מנהל מודיעין איומים ניידים ב-Zimperium, אומר ל-Dark Reading שצרכנים המשתמשים באפליקציות להלוואות כסף נמצאים בסיכון הגבוה ביותר, אבל מטבעו של האיום הזה והאופן שבו התוקפים גונבים מידע רגיש לסחיטה, הם גם מעמידים את המעסיקים שלהם או כל ארגון הם עובדים גם עם בסיכון.
"קל מאוד לתוקפים שמאחורי MoneyMonger לגנוב מידע מאימייל ארגוני, קבצים שהורדו, מיילים אישיים, מספרי טלפון או אפליקציות ארגוניות אחרות בטלפון, תוך שימוש בו כדי לסחוט את הקורבנות שלהם", הוא אומר.
מליק אומר ש-MoneyMonger מהווה סיכון ליחידים ולארגונים מכיוון שהוא אוסף מגוון רחב של נתונים מהמכשיר של הקורבן, כולל חומר שעלול להיות רגיש הקשור לארגונים ומידע קנייני.
"כל מכשיר המחובר לנתונים ארגוניים מהווה סיכון לארגון אם עובד ייפול קורבן להונאת הלוואות הדורסניות של MoneyMonger במכשיר הזה", הוא אומר. "קורבנות של ההלוואה הדורסנית הזו עלולים להיאלץ לגנוב כדי לשלם את הסחיטה או לא לדווח על גניבת מידע ארגוני קריטי על ידי השחקנים הזדוניים מאחורי הקמפיין".
מליק אומר שמכשירים ניידים אישיים מייצגים משטח תקיפה משמעותי ללא מענה עבור ארגונים. הוא מציין שתוכנות זדוניות נגד ניידים רק ממשיכה להתקדם יותר, וללא טלמטריית האיום וההגנה הקריטית במקום כדי לעמוד מול תת-קבוצה גדלה זו של פעילות זדונית, ארגונים ועובדיהם נותרים בסיכון.
"לא משנה אם הם בבעלות תאגיד או חלק מאסטרטגיית BYOD, הצורך באבטחה הוא קריטי כדי להישאר לפני MoneyMonger ואיומים מתקדמים אחרים", הוא אומר. "חינוך הוא רק חלק מהמפתח כאן והטכנולוגיה יכולה להשלים את החסר, למזער את הסיכון ואת פני התקפות שמציגים MoneyMonger ואיומים אחרים."
חשוב גם לזכור להימנע מהורדת אפליקציות מחנויות אפליקציות לא רשמיות; לחנויות רשמיות, כמו Google Play, יש הגנות למשתמשים, הדגיש דובר גוגל בפני Dark Reading.
"אף אחת מהאפליקציות הזדוניות שזוהו בדוח לא נמצאת ב-Google Play", אמר. "Google Play Protect בודק מכשירי אנדרואיד עם שירותי Google Play עבור אפליקציות שעלולות להזיק ממקורות אחרים. Google Play Protect יזהיר משתמשים שמנסים להתקין או להפעיל אפליקציות שזוהו כזדוניות".
התעוררות מחודשת של סוסים טרויאנים בנקאיים
התוכנה הזדונית MoneyMonger עוקבת אחר התעוררות המחודשת של אנדרואיד בנקאות טרויאני SOVA, שמציג כעת יכולות מעודכנות וגרסה נוספת בפיתוח המכילה מודול תוכנת כופר.
סוסים טרויאניים בנקאיים אחרים צצו מחדש עם תכונות מעודכנות כדי לעזור להחליק מעבר לאבטחה, כולל Emotet, שצצה מחדש מוקדם יותר בקיץ בצורה מתקדמת יותר לאחר שהופל על ידי כוח משימה בינלאומי משותף בינואר 2021.
2021 של נוקיהדוח מודיעין איומים" הזהיר כי איומי תוכנות זדוניות בנקאיות מתגברות בחדות, כאשר פושעי סייבר מכוונים לפופולריות הגואה של בנקאות סלולרית בסמארטפונים, עם מזימות שמטרתן לגנוב אישורים בנקאיים אישיים ופרטי כרטיסי אשראי.
איומי סחיטה צפויים להימשך ב-2023
מליק מציין כי סחטנות אינה חדשה עבור שחקנים זדוניים, כפי שנראה בהתקפות של תוכנות כופר והפרות נתונים בקנה מידה עולמי.
"עם זאת, השימוש בסחטנות ברמה אישית כזו, מכוון לקורבנות בודדים, הוא גישה קצת חדשנית שדורשת השקעה של כוח אדם וזמן", הוא אומר. "אבל זה משתלם ובהתבסס על מספר הביקורות והתלונות סביב MoneyMonger והונאות אחרות של הלוואות טורפות הדומות לזה, זה רק ימשיך".
הוא צופה שתנאי השוק והפיננסיים ישאירו אנשים מסוימים נואשים לדרכים לשלם חשבונות או לקבל מזומן נוסף.
"בדיוק כפי שראינו הונאות הלוואות דורסניות עולות במיתון האחרון", הוא אומר, "כמעט מובטח שנראה את המודל הזה של גניבה וסחטנות ממשיך ב-2023".
