Търсене
Close this search box.

Клиентите на европейските банки са обект на кампанията на SpyNote Android Trojan

 

В рамките на агресивна кампания, открита през юни и юли 2023 г., към различни европейски клиенти на различни банки е насочен банков троянец за Android, наречен SpyNote.

„Шпионският софтуер се разпространява чрез имейл фишинг или смъчинг кампании, а измамните дейности се изпълняват с комбинация от възможности на троянски кон за отдалечен достъп (RAT) и вишинг атака“, заяви италианската фирма за киберсигурност Cleafy в технически анализ, публикуван в понеделник.

SpyNote, наричан още SpyMax, е подобен на други банкови троянци за Android по това, че изисква разрешения за достъп до Android, за да си предостави други необходими разрешения и да събира чувствителни данни от заразените устройства. Това, което прави щама на зловредния софтуер забележителен, е двойната му функция като шпионски софтуер и извършване на банкови измами.

Веригите за атаки започват с фалшиво SMS съобщение, което призовава потребителите да инсталират банково приложение, като кликнат върху придружаващата го връзка, пренасочваща жертвата към легитимното приложение TeamViewer QuickSupport, налично в Google Play Store.

„TeamViewer е възприет от няколко банди за извършване на измамни операции чрез атаки със социално инженерство“, заяви изследователят по сигурността Франческо Юбати. „По-специално, нападателят се обажда на жертвата, представяйки се за банков оператор, и извършва измамни транзакции директно на устройството на жертвата.“

Идеята е да се използва TeamViewer като канал за получаване на отдалечен достъп до телефона на жертвата и незабелязано да се инсталира зловредният софтуер. Различните видове информация, събирана от SpyNote, включват данни за геолокация, натискане на клавиши, записи на екрана и SMS съобщения за заобикаляне на двуфакторната автентификация (2FA), базирана на SMS.

Разкритието идва в момент, когато хакерската операция, известна като Bahamut, е свързана с нова кампания, насочена към лица в регионите на Близкия изток и Южна Азия, с цел инсталиране на фиктивно приложение за чат на име SafeChat, което крие зловреден софтуер за Android, наречен CoverIm.

Доставяно на жертвите чрез WhatsApp, приложението съдържа идентични функции като тези на SpyNote, като изисква разрешения за достъп и други, за да събира дневници за обаждания, контакти, файлове, местоположение, SMS съобщения, както и да инсталира допълнителни приложения и да краде данни от Facebook Messenger, imo, Signal, Telegram, Viber и WhatsApp.

Разкритието идва в момент, когато хакерската операция, известна като Bahamut, е свързана с нова кампания, насочена към лица в регионите на Близкия изток и Южна Азия, с цел инсталиране на фиктивно приложение за чат на име SafeChat, което крие зловреден софтуер за Android, наречен CoverIm.

Доставяно на жертвите чрез WhatsApp, приложението съдържа идентични функции като тези на SpyNote, като изисква разрешения за достъп и други, за да събира дневници за обаждания, контакти, файлове, местоположение, SMS съобщения, както и да инсталира допълнителни приложения и да краде данни от Facebook Messenger, imo, Signal, Telegram, Viber и WhatsApp.

Cyfirma, която е разкрила последната дейност, заяви, че тактиката, използвана от този извършител, се припокрива с друг извършител от национална държава, известен като DoNot Team, който наскоро беше наблюдаван да използва измамни приложения за Android, публикувани в Play Store, за да заразява лица, намиращи се в Пакистан.

Макар че точната специфика на социално-инженерния аспект на атаката не е ясна, известно е, че Bahamut разчита на измислени личности във Facebook и Instagram, представяйки се за техници, набиращи персонал в големи технологични компании, журналисти, студенти и активисти, за да подмами неволните потребители да изтеглят зловреден софтуер на устройствата си.

„Bahamut използва редица тактики за хостване и разпространение на зловреден софтуер, включително управление на мрежа от злонамерени домейни, претендиращи да предлагат сигурни чатове, услуги за споделяне на файлове, услуги за свързване или новинарски приложения“, разкрива Meta през май 2023 г. „Някои от тях подправяха домейни на регионални медии, политически организации или легитимни магазини за приложения, вероятно за да накарат връзките си да изглеждат по-легитимни.“

 

Източник: The Hacker News

Подобни публикации

20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
19 май 2024

Grandoreiro се завръща по - мощен след прекъсва...

Банковият троянец за Android „Grandoreiro“ се разпростр...
19 май 2024

Норвежци предсказват бедствия с ИИ

Норвежкият стартъп 7Analytics е получил 4 млн. евро, за да предскаж...
Бъдете социални
Още по темата
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
14/05/2024

Ботнет е изпратил милиони и...

От април насам милиони фишинг имейли...
Последно добавени
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
20/05/2024

Чрез GitHub и FileZilla се ...

Наблюдавана е „многостранна кампания“, при която...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!