В рамките на агресивна кампания, открита през юни и юли 2023 г., към различни европейски клиенти на различни банки е насочен банков троянец за Android, наречен SpyNote.
„Шпионският софтуер се разпространява чрез имейл фишинг или смъчинг кампании, а измамните дейности се изпълняват с комбинация от възможности на троянски кон за отдалечен достъп (RAT) и вишинг атака“, заяви италианската фирма за киберсигурност Cleafy в технически анализ, публикуван в понеделник.
SpyNote, наричан още SpyMax, е подобен на други банкови троянци за Android по това, че изисква разрешения за достъп до Android, за да си предостави други необходими разрешения и да събира чувствителни данни от заразените устройства. Това, което прави щама на зловредния софтуер забележителен, е двойната му функция като шпионски софтуер и извършване на банкови измами.
Веригите за атаки започват с фалшиво SMS съобщение, което призовава потребителите да инсталират банково приложение, като кликнат върху придружаващата го връзка, пренасочваща жертвата към легитимното приложение TeamViewer QuickSupport, налично в Google Play Store.
„TeamViewer е възприет от няколко банди за извършване на измамни операции чрез атаки със социално инженерство“, заяви изследователят по сигурността Франческо Юбати. „По-специално, нападателят се обажда на жертвата, представяйки се за банков оператор, и извършва измамни транзакции директно на устройството на жертвата.“
Идеята е да се използва TeamViewer като канал за получаване на отдалечен достъп до телефона на жертвата и незабелязано да се инсталира зловредният софтуер. Различните видове информация, събирана от SpyNote, включват данни за геолокация, натискане на клавиши, записи на екрана и SMS съобщения за заобикаляне на двуфакторната автентификация (2FA), базирана на SMS.
Разкритието идва в момент, когато хакерската операция, известна като Bahamut, е свързана с нова кампания, насочена към лица в регионите на Близкия изток и Южна Азия, с цел инсталиране на фиктивно приложение за чат на име SafeChat, което крие зловреден софтуер за Android, наречен CoverIm.
Доставяно на жертвите чрез WhatsApp, приложението съдържа идентични функции като тези на SpyNote, като изисква разрешения за достъп и други, за да събира дневници за обаждания, контакти, файлове, местоположение, SMS съобщения, както и да инсталира допълнителни приложения и да краде данни от Facebook Messenger, imo, Signal, Telegram, Viber и WhatsApp.
Разкритието идва в момент, когато хакерската операция, известна като Bahamut, е свързана с нова кампания, насочена към лица в регионите на Близкия изток и Южна Азия, с цел инсталиране на фиктивно приложение за чат на име SafeChat, което крие зловреден софтуер за Android, наречен CoverIm.
Доставяно на жертвите чрез WhatsApp, приложението съдържа идентични функции като тези на SpyNote, като изисква разрешения за достъп и други, за да събира дневници за обаждания, контакти, файлове, местоположение, SMS съобщения, както и да инсталира допълнителни приложения и да краде данни от Facebook Messenger, imo, Signal, Telegram, Viber и WhatsApp.
Cyfirma, която е разкрила последната дейност, заяви, че тактиката, използвана от този извършител, се припокрива с друг извършител от национална държава, известен като DoNot Team, който наскоро беше наблюдаван да използва измамни приложения за Android, публикувани в Play Store, за да заразява лица, намиращи се в Пакистан.
Макар че точната специфика на социално-инженерния аспект на атаката не е ясна, известно е, че Bahamut разчита на измислени личности във Facebook и Instagram, представяйки се за техници, набиращи персонал в големи технологични компании, журналисти, студенти и активисти, за да подмами неволните потребители да изтеглят зловреден софтуер на устройствата си.
„Bahamut използва редица тактики за хостване и разпространение на зловреден софтуер, включително управление на мрежа от злонамерени домейни, претендиращи да предлагат сигурни чатове, услуги за споделяне на файлове, услуги за свързване или новинарски приложения“, разкрива Meta през май 2023 г. „Някои от тях подправяха домейни на регионални медии, политически организации или легитимни магазини за приложения, вероятно за да накарат връзките си да изглеждат по-легитимни.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.