Нов банков злонамерен софтуер за Android, маскиран като крипто приложение за разпространение

Нов банков троянец, наречен “Malibot”, се преструва, че е приложение за криптомайн за разпространение между телефони с Android. Макар че сега е активен само в Испания и Италия, той може да започне да се насочва към американците.

Изображение: Джаки Ниам / Adobe Stock

Докато проследявате злонамерения софтуер за мобилно банкиране FluBotизследователите от F5 Labs откри новата заплаха от Malibot насочени към телефони с Android. Malibot има редица функции и възможности, които го правят важна заплаха за разглеждане.

ВИЖТЕ: Политика за сигурност на мобилното устройство (TechRepublic Premium)

Как се разпространява Malibot?

В момента Malibot се разпространява от киберпрестъпници по два различни канала.

Първият метод за разпространение е чрез мрежата: два различни уебсайта са създадени от измамниците, наречени „Mining X“ и „TheCryptoApp“ (Фигура А и Фигура Б).

Фигура А

Уебсайтът на CryptoApp, създаден от киберпрестъпниците за разпространение на Malibot.

Фигура Б

Уебсайтът MiningX, създаден от киберпрестъпниците за разпространение на Malibot.

Кампанията на CryptoApp се представя за легитимно приложение за проследяване на криптовалута. Потребителят ще бъде заразен и ще бъде снабден с връзката за злонамерен софтуер само ако сърфира от телефон с Android. Сърфирането от всяко друго устройство ще доведе до това на потребителя да бъде предоставена легитимна връзка за истинското приложение TheCryptoApp в Google Play Store. На потребителите на Android се предоставя директна връзка за изтегляне извън Google Play Store.

Що се отнася до кампанията за разпространение на Mining X, щракването върху връзката за изтегляне от уебсайта води до отваряне на прозорец, съдържащ QR код за изтегляне на приложението.

Вторият канал за разпространение е чрез разбиване, директно удряне на телефони с Android: Malibot има способността да изпраща SMS съобщения при поискване и след като получи такава команда, изпраща текстове в списък с телефони, предоставен от сървъра за команди и контрол на Malibot.

Какви данни краде Малибот?

Malibot е проектиран да краде информация като лични данни, идентификационни данни и финансови познания. За да постигне тази цел, той е в състояние да открадне бисквитки, идентификационни данни за многофакторно удостоверяване и крипто портфейли.

Google акаунти

Malibot има механизъм за събиране на идентификационни данни за акаунт в Google. Когато жертвата отвори приложение на Google, зловредният софтуер отваря WebView към страница за вход в Google, принуждавайки потребителя да влезе и не позволява на потребителя да щракне върху който и да е бутон за връщане назад.

В допълнение към събирането на идентификационни данни за акаунта в Google, Malibot също може да заобиколи 2FA на Google. Когато потребителят се опита да се свърже със своя акаунт в Google, му се показва екран с подкана от Google, който злонамереният софтуер незабавно потвърждава. 2FA кодът се изпраща на нападателя вместо на легитимния потребител, след което се извлича от злонамерения софтуер, за да потвърди удостоверяването.

Множество инжекции за избрани онлайн услуги

Списъкът с приложения на заразеното устройство също се предоставя от злонамерения софтуер на нападателя, което помага на нападателя да разбере кое приложение може да бъде закачено от злонамерения софтуер, за да покаже инжектиране вместо това. Инжектирането е страница, показана на потребителя, която перфектно се представя за легитимна (Фигура C).

Фигура C

Изображение: F5 Labs. Инжектирайте за италианската банкова компания Unicredit, показана от зловредния софтуер.

Според F5 Labs, Malibot инжектира целеви финансови институции в Испания и Италия.

Многофакторна автентификация

В допълнение към метода, използван за кражба на акаунти в Google, Malibot може също да открадне кодове за многофакторно удостоверяване от Google Authenticator при поискване. MFA кодовете, изпратени чрез SMS до мобилния телефон, се прихващат от злонамерения софтуер и се ексфилтрират.

Крипто портфейли

Malibot е в състояние да открадне данни от портфейли за криптовалута Binance и Trust.

Зловредният софтуер се опитва да получи общия баланс от портфейлите на жертвите както за Binance, така и за Trust и да го експортира към сървъра C2.

Що се отнася до портфейла Trust, Malibot може също да събира началните фрази за жертвата, което позволява на нападателя по-късно да прехвърли всички пари в друг портфейл по свой избор.

SMS измама

Malibot може да изпраща SMS съобщения при поискване. Въпреки че най-вече използва тази способност за разпространение чрез разбиване, той може също да изпраща Premium SMS, който таксува мобилните кредити на жертвата, ако е активиран.

Как Malibot получава контрол върху заразеното устройство?

Malibot използва активно достъпността на API на Android, което позволява на мобилните приложения да извършват действия от името на потребителя. Използвайки това, злонамереният софтуер може да открадне информация и да поддържа постоянство. По-конкретно, той се защитава от деинсталиране и премахване на разрешения, като гледа конкретен текст или етикети на екрана и натиска бутона за връщане назад, за да предотврати действието.

Малибот: Много активна заплаха

Разработчиците на Malibot искат той да остане неоткрит и да поддържа устойчивост възможно най-дълго на заразените устройства. За да не бъде убит или поставен на пауза от операционната система в случай на неактивност, зловредният софтуер се настройва като стартер. Всеки път, когато се проверява неговата активност, той стартира или събужда услугата.

В злонамерения софтуер се съдържат няколко допълнителни защити, но не се използват. Изследователите на F5 откриха функция за откриване дали зловредният софтуер работи в симулирана среда. Друга неизползвана функция задава злонамерения софтуер като скрито приложение.

Mmore Малибот цели да предстоят, САЩ може вече да са ударени

Докато проучването на F5 Labs разкри цели в Испания и Италия, те също така откриха продължаваща дейност, която може да намекне за киберпрестъпниците, насочени към американски граждани.

Един домейн, използван от същия заплаха, се представя за американски данъчни служби и води до уебсайт „Trust NFT“ (Фигура D) предлага да изтеглите злонамерения софтуер.

Фигура D

Нов уебсайт от заплахата, представящ се за данъчна агенция на САЩ в името на домейна, не е изложен за защита на читателя.

Друг уебсайт, използващ темата COVID-19 в името на домейна си, води до същото съдържание. Изследователите очакват нападателите да внедрят повече зловреден софтуер чрез тези нови уебсайтове в други части на света, включително САЩ

Как да се предпазите от Malibot

Зловредният софтуер се разпространява само от уебсайтове, създадени от киберпрестъпниците и SMS. Понастоящем не се разпространява чрез нито една легитимна платформа за Android, като например Google Play Store.

Никога не инсталирайте приложение на устройство с Android, което може да се изтегли директно от едно щракване. Потребителите трябва да инсталират приложения само от надеждни и легитимни магазини за приложения и платформи. Потребителите никога не трябва да инсталират приложения от връзка, която получават чрез SMS.

Инсталирайте цялостни приложения за сигурност на устройството с Android, за да го защитите от известни заплахи.

Когато инсталирате приложение, разрешенията трябва да бъдат внимателно проверени. Зловреден софтуер на Malibot за разрешения за изпращане на SMS при стартиране за първи път, което би трябвало да породи подозрение.

Разкриване: Работя за Trend Micro, но възгледите, изразени в тази статия, са мои.

Leave a Comment