En Android-kampanj med skadlig kod som kallas MoneyMonger har hittats gömd i appar för utlåning av pengar som utvecklats med Flutter. Det är emblematiskt för en stigande våg av utpressande cyberbrottslingar riktade mot konsumenter – och deras arbetsgivare kommer att känna av effekterna också.
Enligt forskning från Zimperium zLabs-teamet använder skadlig programvara flera lager av social ingenjörskonst för att dra fördel av sina offer och tillåter illvilliga aktörer att stjäla privat information från personliga enheter och sedan använda den informationen för att utpressa individer.
Skadlig programvara MoneyMonger, distribuerad genom tredjepartsappbutiker och sidladdad på offrens Android-enheter, byggdes från grunden för att vara skadlig och riktade sig till dem som behöver snabba pengar, enligt Zimperium-forskare. Den använder flera lager av social ingenjörskonst för att dra fördel av sina offer, som börjar med ett rovlånesystem och lovar snabba pengar till dem som följer några enkla instruktioner.
I processen att installera appen får offret veta att behörigheter krävs på den mobila slutpunkten för att säkerställa att de har god status för att få ett lån. Dessa behörigheter används sedan för att samla in och exfiltrera data, inklusive från kontaktlistan, GPS-platsdata, en lista över installerade appar, ljudinspelningar, samtalsloggar, SMS-listor och lagrings- och fillistor. Den får också åtkomst till kameran.
Denna stulna information används för att utpressa och hota offer att betala alltför höga räntor. Om offret inte betalar i tid, och i vissa fall även efter att lånet är återbetalat, hotar de illvilliga aktörerna att avslöja information, ringa upp personer från kontaktlistan och till och med skicka bilder från enheten.
En av de nya och intressanta sakerna med denna skadliga programvara är hur den använder mjukvaruutvecklingssatsen Flutter för att dölja skadlig kod.
Medan mjukvarupaketet för användargränssnittet med öppen källkod (UI) Flutter har varit en spelförändring för applikationsutvecklare, har illvilliga aktörer också utnyttjat dess möjligheter och ramverk och distribuerat appar med kritiska säkerhets- och integritetsrisker för intet ont anande offer.
I det här fallet utnyttjar MoneyMonger Flutters ramverk för att fördunkla skadliga funktioner och komplicera upptäckten av skadlig aktivitet genom statisk analys, förklarade Zimperium-forskare i en 15 dec blogginlägg.
Risk för företag härrör från ett stort antal insamlade data
Richard Melick, chef för mobil hotintelligens på Zimperium, säger till Dark Reading att konsumenter som använder appar för utlåning av pengar är mest utsatta, men på grund av detta hots natur och hur angripare stjäl känslig information för utpressning, utsätter de också sina arbetsgivare eller vilken organisation som helst. de arbetar med i riskzonen också.
"Det är väldigt lätt för angriparna bakom MoneyMonger att stjäla information från företagets e-post, nedladdade filer, personliga e-postmeddelanden, telefonnummer eller andra företagsappar på telefonen och använda det för att pressa sina offer", säger han.
Melick säger att MoneyMonger är en risk för individer och företag eftersom det samlar in ett brett utbud av data från offrets enhet, inklusive potentiellt känsligt företagsrelaterat material och proprietär information.
"Varje enhet som helst som är kopplad till företagsdata utgör en risk för företaget om en anställd faller offer för MoneyMonger rovlånebedrägeri på den enheten", säger han. "Offren för detta rovlån kan bli tvungna att stjäla för att betala utpressningen eller inte rapportera stölden av kritisk företagsdata av de illvilliga aktörerna bakom kampanjen."
Melick säger att personliga mobila enheter representerar en betydande, oadresserad attackyta för företag. Han påpekar att skadlig programvara mot mobil bara fortsätter att bli mer avancerad, och utan hottelemetri och kritiskt försvar på plats för att stå upp mot denna växande delmängd av skadlig aktivitet, utsätts företag och deras anställda i riskzonen.
"Oavsett om de är företagsägda eller en del av en BYOD-strategi, är behovet av säkerhet avgörande för att ligga steget före MoneyMonger och andra avancerade hot", säger han. "Utbildning är bara en del av nyckeln här och teknik kan fylla i luckorna, minimera risken och attackytan som MoneyMonger och andra hot presenterar."
Det är också viktigt att komma ihåg att undvika att ladda ner appar från inofficiella appbutiker; Officiella butiker, som Google Play, har skydd för användare, betonade en talesperson för Google till Dark Reading.
"Ingen av de identifierade skadliga apparna i rapporten finns på Google Play", sa han. "Google Play Protect kontrollerar Android-enheter med Google Play Services för potentiellt skadliga appar från andra källor. Google Play Protect kommer att varna användare som försöker installera eller starta appar som har identifierats vara skadliga."
Banktrojaner har återuppstått
MoneyMonger skadlig kod följer uppkomsten av Android bank Trojan SOVA, som nu har uppdaterade funktioner och en ytterligare version under utveckling som innehåller en lösenprogramsmodul.
Andra banktrojaner har återuppstått med uppdaterade funktioner för att hjälpa till att gå förbi säkerheten, inklusive Emotet, som återuppstod tidigare i sommar i en mer avancerad form efter att ha tagits ned av en gemensam internationell insatsstyrka i januari 2021.
Nokias 2021 "Hotinformationens rapport” varnade för att hot mot banker med skadlig programvara ökar kraftigt, eftersom cyberbrottslingar riktar in sig på den ökande populariteten för mobilbanktjänster på smartphones, med planer som syftar till att stjäla personliga bankuppgifter och kreditkortsinformation.
Utpressningshot förväntas fortsätta under 2023
Melick påpekar att utpressning inte är nytt för illvilliga aktörer, vilket har setts i ransomware-attacker och dataintrång på global skala.
"Användningen av utpressning på en sådan personlig nivå, riktad mot enskilda offer, är dock lite av ett nytt tillvägagångssätt som kräver en investering av personal och tid", säger han. "Men det lönar sig och baserat på antalet recensioner och klagomål kring MoneyMonger och andra rovlånebedrägerier som liknar detta kommer det bara att fortsätta."
Han förutspår marknads- och finansiella förhållanden kommer att göra vissa människor desperata efter sätt att betala räkningar eller få extra pengar.
"Precis som vi såg bedrägerier med rovlån stiga upp under den senaste lågkonjunkturen," säger han, "det är nästan garanterat att vi kommer att se denna modell av stöld och utpressning fortsätta in i 2023."
