En Android-malwarekampanje kalt MoneyMonger har blitt funnet skjult i pengelånsapper utviklet med Flutter. Det er emblematisk for en økende bølge av utpressing av nettkriminelle rettet mot forbrukere - og deres arbeidsgivere vil føle effektene også.
I følge undersøkelser fra Zimperium zLabs-teamet bruker skadevaren flere lag med sosial ingeniørkunst for å utnytte ofrene sine og lar ondsinnede aktører stjele privat informasjon fra personlige enheter, og deretter bruke denne informasjonen til å utpresse enkeltpersoner.
MoneyMonger malware, distribuert gjennom tredjeparts appbutikker og sidelastet på ofrenes Android-enheter, ble bygget fra grunnen av for å være ondsinnet, rettet mot de som trenger raske penger, ifølge Zimperium-forskere. Den bruker flere lag med sosial ingeniørkunst for å dra nytte av ofrene, som begynner med en rovlånsordning og lover raske penger til de som følger noen få enkle instruksjoner.
I prosessen med å sette opp appen, blir offeret fortalt at tillatelser er nødvendig på det mobile endepunktet for å sikre at de har god anseelse for å motta et lån. Disse tillatelsene brukes deretter til å samle inn og eksfiltrere data, inkludert fra kontaktlisten, GPS-posisjonsdata, en liste over installerte apper, lydopptak, anropslogger, SMS-lister og lagrings- og fillister. Den får også kameratilgang.
Denne stjålne informasjonen brukes til å utpresse og true ofre til å betale for høye renter. Hvis offeret ikke klarer å betale i tide, og i noen tilfeller selv etter at lånet er tilbakebetalt, truer de ondsinnede aktørene med å avsløre informasjon, ringe folk fra kontaktlisten og til og med sende bilder fra enheten.
En av de nye og interessante tingene med denne skadelige programvaren er hvordan den bruker Flutter-programvareutviklingssettet til å skjule ondsinnet kode.
Mens programvaresettet med åpen kildekode-brukergrensesnitt (UI) Flutter har vært en spillskifter for applikasjonsutviklere, har ondsinnede aktører også utnyttet mulighetene og rammeverket, og distribuert apper med kritiske sikkerhets- og personvernrisikoer til intetanende ofre.
I dette tilfellet utnytter MoneyMonger Flutters rammeverk for å tilsløre ondsinnede funksjoner og komplisere oppdagelsen av ondsinnet aktivitet ved statisk analyse, forklarte Zimperium-forskere i en 15. desember blogginnlegg.
Risiko for bedrifter stammer fra et bredt spekter av data som samles inn
Richard Melick, direktør for mobiltrusselsetterretning ved Zimperium, sier til Dark Reading at forbrukere som bruker apper for pengelån er mest utsatt, men på grunn av denne trusselens natur og hvordan angripere stjeler sensitiv informasjon for utpressing, setter de også arbeidsgiverne eller en hvilken som helst organisasjon. de jobber med i faresonen også.
"Det er veldig enkelt for angriperne bak MoneyMonger å stjele informasjon fra bedriftens e-post, nedlastede filer, personlige e-poster, telefonnumre eller andre bedriftsapper på telefonen, og bruke det til å presse ofrene sine," sier han.
Melick sier MoneyMonger er en risiko for enkeltpersoner og bedrifter fordi den samler inn et bredt spekter av data fra offerets enhet, inkludert potensielt sensitivt bedriftsrelatert materiale og proprietær informasjon.
"Enhver enhet som er koblet til bedriftsdata utgjør en risiko for bedriften hvis en ansatt blir offer for MoneyMonger rovlånsvindel på den enheten," sier han. "Ofrene for dette rovlånet kan bli tvunget til å stjele for å betale utpressingen eller ikke rapportere tyveri av kritiske bedriftsdata av de ondsinnede aktørene bak kampanjen."
Melick sier at personlige mobile enheter representerer en betydelig, uadressert angrepsoverflate for bedrifter. Han påpeker at malware mot mobil bare fortsetter å bli mer avansert, og uten trusseltelemetri og kritisk forsvar på plass for å stå opp mot denne voksende undergruppen av ondsinnet aktivitet, står bedrifter og deres ansatte i fare.
"Uansett om de er bedriftseide eller en del av en BYOD-strategi, er behovet for sikkerhet avgjørende for å ligge i forkant av MoneyMonger og andre avanserte trusler," sier han. "Utdanning er bare en del av nøkkelen her, og teknologi kan fylle hullene, og minimere risikoen og angrepsoverflaten presentert av MoneyMonger og andre trusler."
Det er også viktig å huske å unngå å laste ned apper fra uoffisielle appbutikker; offisielle butikker, som Google Play, har beskyttelse for brukere, understreket en Google-talsperson overfor Dark Reading.
"Ingen av de identifiserte ondsinnede appene i rapporten er på Google Play," sa han. "Google Play Protect sjekker Android-enheter med Google Play Services for potensielt skadelige apper fra andre kilder. Google Play Protect vil advare brukere som prøver å installere eller starte apper som har blitt identifisert som skadelige.»
Gjenoppblomstring av banktrojanere
MoneyMonger malware følger gjenoppblomstringen av Android bank Trojan SOVA, som nå har oppdaterte funksjoner og en tilleggsversjon under utvikling som inneholder en løsepengeprogrammodul.
Andre banktrojanere har dukket opp igjen med oppdaterte funksjoner for å hjelpe til med å gå forbi sikkerheten, inkludert Emotet, som dukket opp igjen tidligere i sommer i en mer avansert form etter å ha blitt tatt ned av en felles internasjonal arbeidsgruppe i januar 2021.
Nokias 2021 "Trusselopplysningsrapport” advarte om at trusler mot bank-malware øker kraftig, ettersom nettkriminelle sikter mot den økende populariteten til mobilbanktjenester på smarttelefoner, med planer rettet mot å stjele personlig banklegitimasjon og kredittkortinformasjon.
Utpressingstrusler forventes å fortsette i 2023
Melick påpeker at utpressing ikke er nytt for ondsinnede aktører, slik man har sett i løsepengevareangrep og datainnbrudd på global skala.
"Bruken av utpressing på et slikt personlig nivå, rettet mot individuelle ofre, er imidlertid litt av en ny tilnærming som krever en investering av personell og tid," sier han. "Men det lønner seg, og basert på antall anmeldelser og klager rundt MoneyMonger og andre rovlånsvindeler som ligner på dette, kommer det bare til å fortsette."
Han spår markeds- og økonomiske forhold vil gjøre noen mennesker desperate etter måter å betale regninger på eller få ekstra penger på.
«Akkurat som vi så svindel med rovlån stige opp i den siste resesjonen,» sier han, «er det nesten garantert at vi vil se denne modellen for tyveri og utpressing fortsette inn i 2023.»
