Ερευνητές ανέλυσαν το Toddler, ένα νέο mobile (Android) banking trojan που διανέμεται σε όλη την Ευρώπη. Σε μια έκθεση που κοινοποιήθηκε στο ZDNet, η ομάδα PRODAFT Threat Intelligence (PTI) δήλωσε ότι το malware, που είναι γνωστό και ως TeaBot / Anatsa, είναι μέρος μιας αυξανόμενης τάσης mobile banking malware που επιτίθεται σε χώρες όπως η Ισπανία, η Γερμανία, η Ελβετία και η Ολλανδία.
Το Toddler αποκαλύφθηκε για πρώτη φορά από την Cleafy μετά την ανακάλυψή του τον Ιανουάριο. Ενώ εξακολουθεί να βρίσκεται σε εξέλιξη, το mobile trojan έχει χρησιμοποιηθεί σε επιθέσεις εναντίον πελατών 60 ευρωπαϊκών τραπεζών.
Τον Ιούνιο, η Bitdefender ανέφερε ότι η Ισπανία και η Ιταλία ήταν hotspots μόλυνσης, αν και στοχεύτηκαν επίσης το Ηνωμένο Βασίλειο, η Γαλλία, το Βέλγιο, η Αυστραλία και η Ολλανδία. Σύμφωνα με την PTI, σε μια ανάλυση του malware που έγινε φέτος, η Ισπανία έχει καταλάβει την πρώτη θέση σε κυβερνοεπιθέσεις. Μέχρι στιγμής, έχουν μολυνθεί τουλάχιστον 7.632 κινητά.
Διαβάστε επίσης: IcedID Banking Trojan: Νέα παραλλαγή διανέμεται μέσω spam emails
Μετά το infiltrating ενός C2 server που χρησιμοποιείται από τους χειριστές του trojan, οι ερευνητές βρήκαν επίσης πάνω από 1.000 σύνολα κλεμμένων τραπεζικών credentials.
Οι φορείς μόλυνσης ποικίλλουν, αν και ερευνητές από πολλούς οργανισμούς έχουν εντοπίσει το Toddler σε κακόβουλα αρχεία .APK και Android εφαρμογές. Ενώ το trojan δεν έχει βρεθεί – από τώρα – στο Google Play, πολλά νόμιμα sites έχουν παραβιαστεί για να φιλοξενούν και να εξυπηρετούν το malware.
Ενώ το Toddler είναι προ-διαμορφωμένο για να στοχεύει τους χρήστες δεκάδων τραπεζών σε ολόκληρη την Ευρώπη, η εταιρεία διαπίστωσε ότι το 100% των μολύνσεων που εντοπίστηκαν, μέχρι στιγμής, αφορούν μόνο 18 χρηματοοικονομικούς οργανισμούς. Συνολικά, πέντε από τις εταιρείες αντιπροσώπευαν σχεδόν το 90% των επιθέσεων – που η ομάδα πιστεύει ότι μπορεί να υποδηλώνει μια επιτυχημένη εκστρατεία phishing που βασίζεται σε SMS.
Δείτε ακόμη: Bizarro banking trojan: Στοχεύει πελάτες τραπεζών σε Ευρώπη και Αμερική
Το Toddler είναι ένα run-of-the-mill trojan software και περιέχει τις λειτουργίες που συνήθως θα περίμενε κανείς: δυνατότητα κλοπής δεδομένων, συμπεριλαμβανομένων τραπεζικών πληροφοριών, keylogging, λήψης screenshot, παρακολούθησης κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA), παρακολούθησης SMS, και σύνδεση σε C2 για μεταφορά πληροφοριών, αποδοχή εντολών και σύνδεση της μολυσμένης συσκευής σε botnet.
Το trojan θα χρησιμοποιήσει overlay επιθέσεις για να εξαπατήσει τα θύματα ώστε να υποβάλουν τα credentials τους, εμφανίζοντας ψεύτικες οθόνες σύνδεσης. Κατά την εγκατάσταση, το malware παρακολουθεί τις νόμιμες εφαρμογές που ανοίγουν – και μόλις ξεκινήσει το software προορισμού, ξεκινά η overlay επίθεση.
Πρόταση: trojan Agent Tesla: Συνημμένα WIM χρησιμοποιούνται για την διανομή του
Το malware προσπαθεί επίσης να κλέψει και άλλα αρχεία λογαριασμού, όπως αυτά που χρησιμοποιούνται για πρόσβαση σε πορτοφόλια κρυπτονομισμάτων. Η λίστα εντολών του C2 περιλαμβάνει την ενεργοποίηση της οθόνης μιας μολυσμένης συσκευής, την υποβολή αιτημάτων άδειας, την αλλαγή των επιπέδων έντασης ήχου, την απόπειρα λήψης κωδικών από τον Επαληθευτή Google μέσω της Προσβασιμότητας και την απεγκατάσταση εφαρμογών.
Το επίπεδο επιμονής που μπορεί να διατηρήσει το εν λόγω trojan είναι ασυνήθιστο. Το Toddler περιέχει πολλούς μηχανισμούς ανθεκτικότητας – ο πιο αξιοσημείωτος από τους οποίους εμποδίζει την επανεκκίνηση μιας μολυσμένης συσκευής από κατάχρηση λειτουργιών προσβασιμότητας. Το Toddler μπορεί επίσης να αποτρέψει τη χρήση μιας συσκευής σε ασφαλή λειτουργία.
Πηγή πληροφοριών: zdnet.com
 banking trojan που διανέμεται σε όλη την Ευρώπη. Aποκαλύφθηκε από την Cleafy.){kind=link}