Το Android banking Trojan Zanubis μεταμφιέζεται τώρα στην επίσημη εφαρμογή του περουβιανού κυβερνητικού οργανισμού SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria) και εξαπατά χρήστες.
Αυτό το κακόβουλο λογισμικό εντοπίστηκε πρώτη φορά τον Αύγουστο του 2022 και στοχεύει χρήστες τραπεζών και κατόχους crypto στο Περού, μιμούμενο νόμιμες εφαρμογές Android. Το Zanubis εξαπατά τους χρήστες, ώστε να του παραχωρούν δικαιώματα Προσβασιμότητας, παραχωρώντας ουσιαστικά τον έλεγχο των συσκευών τους.
Αυτό που ξεχωρίζει το Zanubis είναι η αυξανόμενη πολυπλοκότητά του, σύμφωνα με μια νέα έκθεση της Kaspersky. Το Trojan χρησιμοποιεί το Obfuscapk Obfuscator για Android APK αρχεία, γεγονός που καθιστά δύσκολο τον εντοπισμό του.
Δείτε επίσης: Χάκερ κλέβουν δεδομένα μέσω επίθεσης κλοπής εικονοστοιχείων GPU
Μόλις αποκτήσει πρόσβαση στη συσκευή του θύματος, φορτώνει έναν αυθεντικό ιστότοπο SUNAT χρησιμοποιώντας το WebView, δημιουργώντας την ψευδαίσθηση της νομιμότητας. Το Trojan διατηρεί επικοινωνία με τον controlling server του μέσω WebSockets και μιας βιβλιοθήκης που ονομάζεται Socket.IO, εξασφαλίζοντας συνδεσιμότητα ακόμη και σε αντίξοες συνθήκες.
Ένα από τα πιο ανησυχητικά χαρακτηριστικά του Zanubis banking trojan είναι η προσαρμοστικότητά του. Σε αντίθεση με το τυπικό κακόβουλο λογισμικό με σταθερές εφαρμογές-στόχους, το Zanubis μπορεί να προγραμματιστεί εξ αποστάσεως ώστε να κλέβει δεδομένα όταν χρησιμοποιούνται συγκεκριμένες εφαρμογές. Επιπλέον, δημιουργεί μια δεύτερη σύνδεση, παρέχοντας στους χειριστές του τον πλήρη έλεγχο μιας παραβιασμένης συσκευής. Μπορεί ακόμα και να απενεργοποιήσει μια συσκευή, λειτουργώντας σαν μια υποτιθέμενη ενημέρωση Android.
Στην ίδια έκθεση, οι ερευνητές της Kaspersky αναφέρονται και σε άλλες απειλές πέρα από το Zanubis. Ανακάλυψαν ένα cryptor/loader που ονομάζεται AsymCrypt και έχει σχεδιαστεί για να στοχεύει crypto wallets.
Δείτε επίσης: Ads που διανέμουν malware εμφανίζονται στις απαντήσεις του Bing Chat
Επίσης, οι ερευνητές έκαναν λόγο για το Lumma stealer που παλαιότερα ήταν γνωστό ως Arkei. Το Lumma διατηρεί το 46% των αρχικών του χαρακτηριστικών. Για να μολύνει ένα σύστημα, καμουφλάρεται ως μετατροπέας αρχείων από .docx σε .pdf, ενεργοποιώντας το payload του όταν τα αρχεία επανέρχονται με διπλή επέκταση .pdf.exe. Το Lumma στοχεύει κυρίως crypto wallets, κλέβοντας αποθηκευμένα αρχεία, αρχεία διαμόρφωσης και αρχεία καταγραφής.
Η Tatyana Shishkova, επικεφαλής ερευνήτρια ασφαλείας στο GReAT (Παγκόσμια Ομάδα Έρευνας και Ανάλυσης) της Kaspersky, τόνισε τη δυναμική φύση αυτών των απειλών και τη σημασία του να ενημερωνόμαστε συνεχώς για τις νέες απειλές και να παραμένουμε πάντα σε επαγρύπνηση.
“Το διαρκώς εξελισσόμενο τοπίο του κακόβουλου λογισμικού, με χαρακτηριστικά παραδείγματα το Lumma και το Zanubis banking trojan, υπογραμμίζει τη δυναμική φύση αυτών των απειλών“, είπε.
“Οι εκθέσεις ειδικών διαδραματίζουν καθοριστικό ρόλο στην ενημέρωση για τα πιο πρόσφατα κακόβουλα εργαλεία και τις τεχνικές των επιτιθέμενων, δίνοντάς μας τη δυνατότητα να παραμείνουμε ένα βήμα μπροστά στη συνεχιζόμενη μάχη για την ψηφιακή ασφάλεια“.
Δείτε επίσης: Εντοπίστηκαν κακόβουλα πακέτα npm και PyPi που κλέβουν ευαίσθητα data από devs
Η Kaspersky συνέστησε διάφορα προληπτικά μέτρα, συμπεριλαμβανομένων των αντιγράφων ασφαλείας εκτός σύνδεσης, της χρήσης εργαλείων κατά του ransomware και αποκλειστικών λύσεων ασφαλείας, για τον μετριασμό των απειλών με οικονομικά κίνητρα.
Τα malware αποτελούν έναν από τους μεγαλύτερους κινδύνους για την ψηφιακή ασφάλεια στη σύγχρονη εποχή. Στοχεύουν στην παραβίαση της ασφάλειας της συσκευής, με σκοπό την κλοπή προσωπικών πληροφοριών ή την εκτέλεση κακόβουλων ενεργειών χωρίς την άδεια του χρήστη. Η προστασία των προσωπικών και επαγγελματικών δεδομένων έναντι τέτοιων απειλών απαιτεί συνεχή ενημέρωση, ευαισθητοποίηση και χρήση αξιόπιστων λύσεων ασφαλείας.
Πηγή: www.infosecurity-magazine.com