Ένα προηγμένο κακόβουλο πρόγραμμα που ξεκίνησε από τη Βραζιλία, έχει αρχίσει να στοχεύει Android χρήστες για να κλέβει τραπεζικά credentials. Το banking trojan που έχει ονομαστεί Bizarro, στοχεύει πελάτες 70 τραπεζών σε Ευρώπη και Νότια Αμερική.
Δείτε επίσης: Janeleiro: Το νέο banking trojan που στοχεύει οργανισμούς και κυβερνήσεις
Σύμφωνα με μια ανάλυση της Kaspersky που κυκλοφόρησε τη Δευτέρα, το Bizarro είναι ένα mobile malware, που στοχεύει στην κλοπή online-banking credentials και στην παραβίαση Bitcoin wallets Android χρηστών. Διαδίδεται μέσω Microsoft Installer packages, τα οποία μπορεί να τα κατεβάζουν απευθείας τα θύματα από συνδέσμους σε spam emails ή να εγκαθίστανται μέσω μιας trojanized εφαρμογής.
Μόλις εγκατασταθεί, το Bizarro malware διακόπτει όλες τις τρέχουσες διαδικασίες του προγράμματος περιήγησης για να τερματίσει πιθανά υπάρχοντα sessions με τραπεζικά sites. Επομένως, όταν ένας χρήστης ξεκινά ένα mobile banking session, πρέπει να συνδεθεί ξανά, επιτρέποντας στο κακόβουλο λογισμικό να κλέψει τα credentials. Για να αυξήσει τις πιθανότητες επιτυχίας του, το Bizarro banking trojan απενεργοποιεί το autocomplete στο πρόγραμμα περιήγησης και εμφανίζει ακόμη και ψεύτικα pop-up παράθυρα για να αρπάξει τους κωδικούς από τον έλεγχο ταυτότητας δύο παραγόντων.
Δείτε επίσης: Teabot: Το νέο Android malware στοχεύει τράπεζες στην Ευρώπη!
Το Bizarro διαθέτει, επίσης, τη δυνατότητα καταγραφής της οθόνης μιας Android συσκευής.
“Φορτώνει το magnification.dll library και παίρνει τη διεύθυνση του deprecated MagSetImageScalingCallback API function“, εξήγησαν οι ερευνητές της Kaspersky. “Με τη βοήθειά του, το Bizarro trojan μπορεί να καταγράψει την οθόνη ενός χρήστη και επίσης να παρακολουθεί συνεχώς το system clipboard, αναζητώντας τη διεύθυνση ενός Bitcoin wallet. Αν βρει ένα wallet, το αντικαθιστά με ένα άλλο που ανήκει στους προγραμματιστές του κακόβουλου λογισμικού“.
Τέλος, σύμφωνα με την ανάλυση, το Bizarro trojan διαθέτει κι ένα backdoor module που είναι ικανό να εκτελεί περισσότερες από 100 εντολές.
Οι εντολές χωρίζονται στις παρακάτω κατηγορίες:
- Εντολές που επιτρέπουν στους χειριστές του C2 να λαμβάνουν δεδομένα σχετικά με το θύμα και να διαχειρίζονται την κατάσταση σύνδεσης.
- Εντολές που επιτρέπουν στους εισβολείς να αναζητούν και να κλέβουν τα αρχεία που βρίσκονται στον σκληρό δίσκο του θύματος και εντολές που επιτρέπουν την εγκατάσταση αρχείων στη συσκευή του θύματος.
- Εντολές που επιτρέπουν στους εισβολείς να ελέγχουν το ποντίκι και το πληκτρολόγιο του χρήστη.
- Εντολές που επιτρέπουν στους εισβολείς να ελέγχουν τη λειτουργία του backdoor, να κλείνουν, να επανεκκινούν ή να καταστρέφουν το λειτουργικό σύστημα και να περιορίζουν τη λειτουργικότητα των Windows.
- Εντολές που καταγράφουν πληκτρολογήσεις.
- Εντολές που επιτρέπουν social engineering επιθέσεις: Αυτές οι εντολές εμφανίζουν διάφορα μηνύματα που παραπλανούν τους χρήστες, ώστε να δώσουν στους εισβολείς πρόσβαση σε τραπεζικούς λογαριασμούς, συμπεριλαμβανομένων ψεύτικων pop-up παραθύρων (π.χ. μηνύματα όπως “τα δεδομένα που έχουν εισαχθεί είναι λανθασμένα, δοκιμάστε ξανά”, μηνύματα σφάλματος που ζητούν από τον χρήστη να εισαγάγει έναν κωδικό επιβεβαίωσης, μηνύματα που λένε στον χρήστη ότι πρέπει να γίνει επανεκκίνηση του υπολογιστή του για να ολοκληρωθεί μια λειτουργία που σχετίζεται με την ασφάλεια κ.ά.).
- Εντολές που επιτρέπουν στο Bizarro banking trojan να μιμείται διαδικτυακά τραπεζικά συστήματα.
- Εντολές που ενεργοποιούν custom μηνύματα.
“Τα custom μηνύματα που μπορεί να εμφανίζει το Bizarro είναι μηνύματα που παγώνουν το μηχάνημα του θύματος, επιτρέποντας έτσι στους εισβολείς να κερδίσουν κάποιο χρόνο”, λέει η ανάλυση. “Όταν λαμβάνεται μια εντολή για την εμφάνιση ενός τέτοιου μηνύματος, η γραμμή εργασιών είναι κρυμμένη, η οθόνη είναι γκρι και το ίδιο το μήνυμα εμφανίζεται. Ενώ εμφανίζεται το μήνυμα, ο χρήστης δεν μπορεί να το κλείσει ή να ανοίξει το Task Manager. Το ίδιο το μήνυμα λέει στον χρήστη είτε ότι το σύστημα έχει παραβιαστεί και συνεπώς πρέπει να ενημερωθεί ή ότι εγκαθίστανται στοιχεία ασφαλείας“.
Δείτε επίσης: Avast: Το Ursnif Trojan έχει στοχεύσει πάνω από 100 τράπεζες στην Ιταλία
Σύμφωνα με τους ερευνητές, το Bizarro banking trojan έχει στοχεύσει χρήστες στην Αργεντινή, τη Χιλή, τη Γερμανία, τη Γαλλία, την Ισπανία, την Πορτογαλία και την Ιταλία. Το Bizarro δεν είναι το πρώτο banking trojan που ξεκίνησε από τη Βραζιλία και άρχισε να στοχεύει χρήστες σε όλο τον κόσμο. Με τον ίδιο τρόπο λειτούργησαν και άλλα γνωστά trojans: Grandoreiro, Guildma, Javali και Melcoz.
“Οι εγκληματίες του κυβερνοχώρου αναζητούν συνεχώς νέους τρόπους διάδοσης κακόβουλου λογισμικού που επιτρέπει την κλοπή credentials για συστήματα ηλεκτρονικής πληρωμής και τραπεζικά συστήματα“, δήλωσε ο Fabio Assolini, ειδικός ασφαλείας στην Kaspersky. “Σήμερα, βλέπουμε μια τάση που αλλάζει το παιχνίδι στη διανομή κακόβουλου λογισμικού – επιτιθέμενοι που στόχευσαν χρήστες μόνο στην περιοχή τους, τώρα στοχεύουν χρήστες σε όλο τον κόσμο. Εφαρμόζοντας νέες τεχνικές, τα βραζιλιάνικα malware άρχισαν να στοχεύουν χρήστες και σε άλλες ηπείρους και το Bizarro, το οποίο στοχεύει χρήστες από την Ευρώπη, είναι το πιο χαρακτηριστικό παράδειγμα“.
Πηγή: Threatpost