ΑρχικήsecurityAnubis malware: Στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων

Anubis malware: Στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων

Το Anubis Android banking malware στοχεύει τώρα τους πελάτες περίπου 400 χρηματοπιστωτικών ιδρυμάτων, στα πλαίσια μιας νέας malware καμπάνιας.

Anubis Android malware

Οι φορείς απειλών στοχεύουν χρηματοπιστωτικά ιδρύματα, cryptocurrency wallets και virtual payment πλατφόρμες, χρησιμοποιώντας μια ψεύτικη, κακόβουλη εφαρμογή Android που μοιάζει πολύ με την επίσημη εφαρμογή της Orange S.A. Στόχος είναι η κλοπή credentials.

Η αναφορά προέρχεται από ερευνητές της Lookout, οι οποίοι σημειώνουν ότι η κακόβουλη καμπάνια βρίσκεται ακόμα στη φάση δοκιμών και βελτιστοποίησης.

Anubis Android banking malware: Μια παλιά αλλά ισχυρή απειλή

Το Anubis εμφανίστηκε για πρώτη φορά σε ρωσικά hacking φόρουμ το 2016, ως open-source banking trojan με οδηγίες για την εφαρμογή του.

Στα χρόνια που ακολούθησαν, το Anubis εξελίχθηκε και συνέχισε να μοιράζεται σε hacking φόρουμ.

Το 2019, το Android banking malware πρόσθεσε κάτι που έμοιαζε με ransomware module και κατάφερε να περάσει στο Play Store της Google, ενσωματωμένο σε ψεύτικες εφαρμογές.

Δείτε επίσης: Phishing emails διανέμουν το Agent Tesla malware μέσω κακόβουλων PowerPoint

Το 2020, επέστρεψε μέσω phishing εκστρατειών μεγάλης κλίμακας, στοχεύοντας 250 shopping και banking apps.

Το Anubis εμφανίζει ψεύτικες φόρμες σύνδεσης, όταν οι χρήστες ανοίγουν εφαρμογές για στοχευμένες πλατφόρμες, και κλέβει credentials. Αυτή η οθόνη εμφανίζεται στην οθόνη σύνδεσης της πραγματικής εφαρμογής για να κάνει τα θύματα να πιστεύουν ότι είναι μια νόμιμη φόρμα σύνδεσης. Στην πραγματικότητα, όμως, στέλνει τα credentials στους επιτιθέμενους.

Anubis malware: Στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων

Στη νέα έκδοση που εντόπισε η Lookout, το Anubis Android banking malware στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων και έχει τις ακόλουθες δυνατότητες:

  • Καταγραφή δραστηριότητας οθόνης και ήχου από το μικρόφωνο
  • Εφαρμογή SOCKS5 proxy για κρυφή επικοινωνία και package delivery
  • Λήψη screenshots
  • Αποστολή μαζικών μηνυμάτων SMS από τη συσκευή σε καθορισμένους παραλήπτες
  • Ανάκτηση επαφών που είναι αποθηκευμένες στη συσκευή
  • Αποστολή, ανάγνωση, διαγραφή και αποκλεισμός ειδοποιήσεων για μηνύματα SMS που λαμβάνονται από τη συσκευή
  • Σάρωση της συσκευής για σημαντικά αρχεία με στόχο την κλοπή τους
  • Εφαρμογή ενός keylogger για την κλοπή credentials
  • Λήψη δεδομένων GPS
  • Κλείδωμα της οθόνης και εμφάνιση σημειώματος λύτρων
  • Υποβολή USSD code requests
  • Παρακολούθηση ενεργών εφαρμογών για μίμηση και εκτέλεση επιθέσεων overlay
  • Διακοπή κακόβουλης λειτουργίας και αφαίρεση του κακόβουλου λογισμικού από τη συσκευή

Όπως και οι προηγούμενες εκδόσεις, έτσι και αυτή ελέγχει εάν η παραβιασμένη συσκευή έχει ενεργοποιημένο το Google Play Protected και στέλνει μια ψεύτικη ειδοποίηση συστήματος για να ξεγελάσει τον χρήστη ώστε να την απενεργοποιήσει.

Δείτε επίσης: Android scam κλέβει τα χρήματα σας αν απαντήσετε σε αυτή την κλήση

Αν γίνει η απενεργοποίηση, το κακόβουλο λογισμικό αποκτά πλήρη πρόσβαση στη συσκευή και μπορεί να λαμβάνει και να στέλνει δεδομένα από το C2 χωρίς παρεμβολές.

Μηχανισμοί διανομής

Οι εγκληματίες προσπάθησαν να υποβάλουν ένα “fr.orange.serviceapp” package στο Google Play store τον Ιούλιο του 2021, αλλά η εφαρμογή απορρίφθηκε.

Η Lookout πιστεύει ότι οι hackers προσπάθησαν απλά να δοκιμάσουν τους anti-malware ανιχνευτές της Google.

Η διανομή της ψεύτικης εφαρμογής Orange πραγματοποιείται αυτήν τη στιγμή μέσω κακόβουλων ιστότοπων, άμεσων μηνυμάτων στα μέσα κοινωνικής δικτύωσης, smishing και forum posts.

Anubis malware: Στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων

Η ερευνήτρια της Lookout, Kristina Balaam, είπε στο Bleeping Computer ότι αυτή η καμπάνια δεν στοχεύει μόνο Γάλλους πελάτες της Orange S.A., αλλά και Αμερικανούς χρήστες.

Δείτε επίσης: Log4j Log4Shell: Εντοπίστηκε η πρώτη ransomware επίθεση που χρησιμοποιεί την ευπάθεια;

Δεν γνωρίζουμε αν η κακόβουλη εφαρμογή έχει μολύνει κάποιον αλλά είναι γνωστό ότι στοχεύει τράπεζες των ΗΠΑ, συμπεριλαμβανομένων των Bank of America, U.S Bank, Capital One, Chase, SunTrust και Wells Fargo.

Δεν υπάρχουν συγκεκριμένες πληροφορίες για τους εγκληματίες που διανέμουν αυτή τη στιγμή το Anubis. Λαμβάνοντας υπόψη ότι ο κώδικας Anubis κυκλοφορεί σε πολλά hacking forums, ο αριθμός των hackers που το χρησιμοποιούν είναι μεγάλος.

Οι πελάτες της Orange S.A. καλούνται να κατεβάζουν την εφαρμογή μόνο από τον επίσημο ιστότοπο της εταιρείας τηλεπικοινωνιών ή το Google Play.

Πηγή: Bleeping Computer

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS