O campanie de malware pentru Android numită MoneyMonger a fost găsită ascunsă în aplicațiile de creditare dezvoltate folosind Flutter. Este emblematic pentru un val în creștere de șantaj ciberneticilor care vizează consumatorii – iar angajatorii acestora vor simți și ei efectele.
Potrivit cercetării echipei Zimperium zLabs, malware-ul folosește mai multe straturi de inginerie socială pentru a profita de victimele sale și permite actorilor rău intenționați să fure informații private de pe dispozitivele personale, apoi să folosească aceste informații pentru a șantaja indivizi.
Programul malware MoneyMonger, distribuit prin magazine de aplicații terțe și încărcat lateral pe dispozitivele Android ale victimelor, a fost construit de la zero pentru a fi rău intenționat, vizând cei care au nevoie de bani rapid, potrivit cercetătorilor Zimperium. Folosește mai multe straturi de inginerie socială pentru a profita de victimele sale, începând cu o schemă de împrumut de pradă și promițând bani rapid celor care urmează câteva instrucțiuni simple.
În procesul de configurare a aplicației, victimei i se spune că sunt necesare permisiuni pe terminalul mobil pentru a se asigura că este în stare bună pentru a primi un împrumut. Aceste permisiuni sunt apoi utilizate pentru a colecta și a exfiltra date, inclusiv din lista de contacte, datele de locație GPS, o listă de aplicații instalate, înregistrări audio, jurnalele de apeluri, liste de SMS-uri și liste de stocare și fișiere. De asemenea, obține acces la cameră.
Aceste informații furate sunt folosite pentru a șantaja și a amenința victimele să plătească dobânzi excesiv de mari. Dacă victima nu reușește să plătească la timp și, în unele cazuri, chiar și după ce împrumutul este rambursat, actorii rău intenționați amenință că vor dezvălui informații, sună oameni din lista de contacte și chiar trimit fotografii de pe dispozitiv.
Unul dintre lucrurile noi și interesante despre acest malware este modul în care folosește kitul de dezvoltare software Flutter pentru a ascunde codul rău intenționat.
În timp ce setul de software cu interfață de utilizator (UI) open source Flutter a schimbat jocul pentru dezvoltatorii de aplicații, actorii rău intenționați au profitat și de capacitățile și cadrul său, implementând aplicații cu riscuri critice de securitate și confidențialitate pentru victimele nebănuitoare.
În acest caz, MoneyMonger profită de cadrul lui Flutter pentru a ofusca caracteristicile rău intenționate și pentru a complica detectarea activităților rău intenționate prin analiză statică, au explicat cercetătorii Zimperium într-un studiu. Postare pe blog din 15 decembrie.
Riscul pentru întreprinderi provine din gama largă de date colectate
Richard Melick, director de informații despre amenințări mobile la Zimperium, a declarat pentru Dark Reading că consumatorii care folosesc aplicații de împrumut cu bani sunt cei mai expuși riscului, dar, prin natura acestei amenințări și modul în care atacatorii fură informații sensibile pentru șantaj, își pun și angajatorii sau orice organizație. ei lucrează cu riscuri.
„Este foarte ușor pentru atacatorii din spatele MoneyMonger să fure informații din e-mailurile corporative, fișierele descărcate, e-mailurile personale, numerele de telefon sau alte aplicații de companie de pe telefon, folosindu-le pentru a-și extorca victimele”, spune el.
Melick spune că MoneyMonger reprezintă un risc pentru indivizi și întreprinderi, deoarece colectează o gamă largă de date de pe dispozitivul victimei, inclusiv materiale potențial sensibile legate de întreprindere și informații proprietare.
„Orice dispozitiv conectat la datele întreprinderii prezintă un risc pentru întreprindere dacă un angajat este victima înșelătoriei de împrumut MoneyMonger pe acel dispozitiv”, spune el. „Victimele acestui împrumut de pradă ar putea fi obligate să fure pentru a plăti șantajul sau să nu raporteze furtul datelor critice ale întreprinderii de către actorii rău intenționați din spatele campaniei.”
Melick spune că dispozitivele mobile personale reprezintă o suprafață de atac semnificativă și neabordată pentru întreprinderi. El subliniază că programele malware împotriva dispozitivelor mobile continuă să devină mai avansate și, fără telemetria amenințărilor și apărarea critică care să se opună acestui subset tot mai mare de activități rău intenționate, întreprinderile și angajații lor sunt expuși riscului.
„Indiferent dacă sunt deținute de corporații sau fac parte dintr-o strategie BYOD, nevoia de securitate este esențială pentru a rămâne în fața MoneyMonger și a altor amenințări avansate”, spune el. „Educația este doar o parte a cheii aici, iar tehnologia poate umple golurile, minimizând riscul și suprafața de atac prezentate de MoneyMonger și alte amenințări.”
De asemenea, este important să rețineți că evitați descărcarea de aplicații din magazinele de aplicații neoficiale; Magazinele oficiale, cum ar fi Google Play, au protecție pentru utilizatori, a subliniat un purtător de cuvânt al Google pentru Dark Reading.
„Niciuna dintre aplicațiile rău intenționate identificate în raport nu se află pe Google Play”, a spus el. „Google Play Protect verifică dispozitivele Android cu Servicii Google Play pentru aplicații potențial dăunătoare din alte surse. Google Play Protect va avertiza utilizatorii care încearcă să instaleze sau să lanseze aplicații care au fost identificate ca fiind rău intenționate.”
Reapariția troienilor bancare
Malware-ul MoneyMonger urmează renașterea Troian bancar Android SOVA, care are acum capabilități actualizate și o versiune suplimentară în dezvoltare care conține un modul ransomware.
Alți troieni bancari au reapărut cu funcții actualizate pentru a ajuta la trecerea la securitatea trecută, inclusiv Emotet, care a reapărut la începutul acestei veri într-o formă mai avansată, după ce a fost eliminată de un grup de lucru internațional comun în ianuarie 2021.
Nokia 2021 „Raport de informații despre amenințare” a avertizat că amenințările malware bancare sunt în creștere bruscă, deoarece infractorii cibernetici vizează popularitatea tot mai mare a serviciilor bancare mobile pe smartphone-uri, cu comploturi care vizează furtul acreditărilor bancare personale și informații despre cardul de credit.
Amenințările de șantaj sunt așteptate să continue în 2023
Melick subliniază că șantajul nu este o noutate pentru actorii rău intenționați, așa cum s-a văzut în atacurile ransomware și încălcările de date la scară globală.
„Folosirea șantajului la un nivel atât de personal, care vizează victimele individuale, este totuși o abordare puțin nouă, care necesită o investiție de personal și timp”, spune el. „Dar dă roade și, pe baza numărului de recenzii și plângeri cu privire la MoneyMonger și alte escrocherii de împrumut de pradă similare cu aceasta, va continua doar.”
El prezice că condițiile de piață și financiare îi vor lăsa pe unii oameni disperați pentru modalități de a plăti facturile sau de a obține numerar suplimentar.
„Așa cum am văzut că în ultima recesiune au crescut escrocherii cu împrumuturi de pradă”, spune el, „este aproape garantat că vom vedea că acest model de furt și șantaj continuă până în 2023”.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
