Οι ερευνητές λένε ότι κακόβουλες ψεύτικες εφαρμογές Android που μεταμφιέζονται ως νόμιμες εφαρμογές αγορών κλέβουν τα οικονομικά δεδομένα πελατών τραπεζών της Μαλαισίας.
Την Τετάρτη, η ομάδα κυβερνοασφάλειας της ESET δημοσίευσε νέα έρευνα που τεκμηριώνει τρεις ξεχωριστές εφαρμογές που στοχεύουν πελάτες που ανήκουν σε οκτώ τράπεζες της Μαλαισίας.
Αναζητώντας την ευκαιρία να αποκομίσουν κέρδος από αυτή τη συμπεριφορά, οι εγκληματίες του κυβερνοχώρου την εκμεταλλεύονται εξαπατώντας τους πρόθυμους αγοραστές να κατεβάσουν κακόβουλες εφαρμογές. Σε μια συνεχιζόμενη εκστρατεία που στοχεύει τους πελάτες οκτώ τραπεζών της Μαλαισίας, οι απειλητικοί παράγοντες προσπαθούν να κλέψουν τραπεζικά credentials χρησιμοποιώντας ψεύτικους ιστότοπους που παρουσιάζονται ως νόμιμες υπηρεσίες, μερικές φορές αντιγράφοντας τις πρωτότυπες. Αυτοί οι ιστότοποι χρησιμοποιούν παρόμοια domain names με τις υπηρεσίες που υποδύονται το καλύτερο για να προσελκύσουν ανυποψίαστα θύματα.
Δείτε επίσης: Android malware: Νέο spyware έχει πρόσβαση σε πολλά δεδομένα
Οι δράστες που εντοπίστηκαν για πρώτη φορά στα τέλη του 2021, άρχισαν να διανέμουν μια ψεύτικη εφαρμογή που προσποιείται ότι είναι η Maid4u, ένα νόμιμο brand υπηρεσιών καθαρισμού. Οι χάκερ δημιούργησαν έναν ιστότοπο με παρόμοιο όνομα — μια τεχνική γνωστή ως typosquatting — και προσπάθησαν να δελεάσουν πιθανά θύματα να κατεβάσουν την κακόβουλη εφαρμογή Maid4u.
Οι πληρωμένες διαφημίσεις Facebook χρησιμοποιήθηκαν για να προωθήσουν την εφαρμογή και να λειτουργήσουν ως μέθοδος διανομής.
Τον Ιανουάριο, το MalwareHunterTeam μοιράστηκε άλλους τρεις ιστότοπους που λειτουργούν με τον ίδιο τρόπο και τη στιγμή που γράφεται το άρθρο, η καμπάνια συνεχίζεται ακόμη. Η ESET έκτοτε βρήκε άλλους τέσσερις κακόβουλους ιστότοπους που μιμούνται νόμιμες υπηρεσίες αγορών και καθαρισμού στη Μαλαισία.
Οι Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy και MaidACall υποδύονται όλοι μαζί με το PetsMore, ένα pet shop. Πέντε από τα abused services δεν διαθέτουν εφαρμογή στο Google Play.
Τα κακόβουλα domains δεν επιτρέπουν στους πελάτες να αγοράζουν προϊόντα ή υπηρεσίες απευθείας. Αντίθετα, ο φορέας επίθεσης είναι ένα κουμπί που ισχυρίζεται ότι συνδέεται με το Google Play, το επίσημο αποθετήριο εφαρμογών της Google, για να πληρώσουν οι πελάτες.
Δείτε επίσης: Android trojan έχει περάσει στο Play Store και κλέβει Facebook credentials
Οι ψεύτικες εφαρμογές Android που συνδέονται με τα κουμπιά αγοράς φιλοξενούνται στους servers του εισβολέα. Σε αυτό το στάδιο, ένα θύμα μπορεί να αποφύγει τη μόλυνση εάν έχει επιλέξει να μην ενεργοποιήσει το “Install unknown apps” — έναν προεπιλεγμένο μηχανισμό ασφαλείας για συσκευές Android — αλλά εάν εγκαταστήσει το λογισμικό, του εμφανίζονται διαφορετικές επιλογές “πληρωμής” μέσω των εφαρμογών.
Ενώ εμφανίζονται δύο «επιλογές» — μια πληρωμή με πιστωτική κάρτα ή μια απευθείας τραπεζική μεταφορά — η πρώτη επιλογή δεν λειτουργεί. Για τα τραπεζικά εμβάσματα, στα θύματα παρουσιάζεται μια ψεύτικη σελίδα πληρωμών που απαριθμεί οκτώ τράπεζες της Μαλαισίας: Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia και Hong Leong Bank.
Όταν οι χρήστες εισάγουν τα credentials της τράπεζάς τους, αποστέλλονται στον command-and-control (C2) του εισβολέα. Στη συνέχεια εμφανίζεται στο θύμα ένα μήνυμα σφάλματος.
Δείτε επίσης: Romance scams: Οι χρήστες iPhone/ Android πέφτουν θύματα νέων τακτικών
Ωστόσο, το κακόβουλο λογισμικό που είναι ενσωματωμένο σε αυτές τις εφαρμογές είναι απλοϊκό: ένας βασικός info stealer και ένας προωθητής μηνυμάτων. Η έλλειψη πολυπλοκότητας επισημαίνεται καθώς οι εφαρμογές δεν μπορούν να υποκλέψουν, να κρύψουν ή να διαγράψουν τα μηνύματα 2FA SMS από το handset του θύματος όταν ένας εισβολέας προσπαθεί να αποκτήσει πρόσβαση στον τραπεζικό λογαριασμό του, και έτσι οι απόπειρες δόλιας πρόσβασης ενδέχεται να επισημαίνονται όταν αποστέλλονται κωδικοί 2FA στην Android συσκευή.
Πηγή πληροφοριών: zdnet.com
