Търсене
Close this search box.

 

В рамките на агресивна кампания, открита през юни и юли 2023 г., към различни европейски клиенти на различни банки е насочен банков троянец за Android, наречен SpyNote.

„Шпионският софтуер се разпространява чрез имейл фишинг или смъчинг кампании, а измамните дейности се изпълняват с комбинация от възможности на троянски кон за отдалечен достъп (RAT) и вишинг атака“, заяви италианската фирма за киберсигурност Cleafy в технически анализ, публикуван в понеделник.

SpyNote, наричан още SpyMax, е подобен на други банкови троянци за Android по това, че изисква разрешения за достъп до Android, за да си предостави други необходими разрешения и да събира чувствителни данни от заразените устройства. Това, което прави щама на зловредния софтуер забележителен, е двойната му функция като шпионски софтуер и извършване на банкови измами.

Веригите за атаки започват с фалшиво SMS съобщение, което призовава потребителите да инсталират банково приложение, като кликнат върху придружаващата го връзка, пренасочваща жертвата към легитимното приложение TeamViewer QuickSupport, налично в Google Play Store.

„TeamViewer е възприет от няколко банди за извършване на измамни операции чрез атаки със социално инженерство“, заяви изследователят по сигурността Франческо Юбати. „По-специално, нападателят се обажда на жертвата, представяйки се за банков оператор, и извършва измамни транзакции директно на устройството на жертвата.“

Идеята е да се използва TeamViewer като канал за получаване на отдалечен достъп до телефона на жертвата и незабелязано да се инсталира зловредният софтуер. Различните видове информация, събирана от SpyNote, включват данни за геолокация, натискане на клавиши, записи на екрана и SMS съобщения за заобикаляне на двуфакторната автентификация (2FA), базирана на SMS.

Разкритието идва в момент, когато хакерската операция, известна като Bahamut, е свързана с нова кампания, насочена към лица в регионите на Близкия изток и Южна Азия, с цел инсталиране на фиктивно приложение за чат на име SafeChat, което крие зловреден софтуер за Android, наречен CoverIm.

Доставяно на жертвите чрез WhatsApp, приложението съдържа идентични функции като тези на SpyNote, като изисква разрешения за достъп и други, за да събира дневници за обаждания, контакти, файлове, местоположение, SMS съобщения, както и да инсталира допълнителни приложения и да краде данни от Facebook Messenger, imo, Signal, Telegram, Viber и WhatsApp.

Разкритието идва в момент, когато хакерската операция, известна като Bahamut, е свързана с нова кампания, насочена към лица в регионите на Близкия изток и Южна Азия, с цел инсталиране на фиктивно приложение за чат на име SafeChat, което крие зловреден софтуер за Android, наречен CoverIm.

Доставяно на жертвите чрез WhatsApp, приложението съдържа идентични функции като тези на SpyNote, като изисква разрешения за достъп и други, за да събира дневници за обаждания, контакти, файлове, местоположение, SMS съобщения, както и да инсталира допълнителни приложения и да краде данни от Facebook Messenger, imo, Signal, Telegram, Viber и WhatsApp.

Cyfirma, която е разкрила последната дейност, заяви, че тактиката, използвана от този извършител, се припокрива с друг извършител от национална държава, известен като DoNot Team, който наскоро беше наблюдаван да използва измамни приложения за Android, публикувани в Play Store, за да заразява лица, намиращи се в Пакистан.

Макар че точната специфика на социално-инженерния аспект на атаката не е ясна, известно е, че Bahamut разчита на измислени личности във Facebook и Instagram, представяйки се за техници, набиращи персонал в големи технологични компании, журналисти, студенти и активисти, за да подмами неволните потребители да изтеглят зловреден софтуер на устройствата си.

„Bahamut използва редица тактики за хостване и разпространение на зловреден софтуер, включително управление на мрежа от злонамерени домейни, претендиращи да предлагат сигурни чатове, услуги за споделяне на файлове, услуги за свързване или новинарски приложения“, разкрива Meta през май 2023 г. „Някои от тях подправяха домейни на регионални медии, политически организации или легитимни магазини за приложения, вероятно за да накарат връзките си да изглеждат по-легитимни.“

 

Източник: The Hacker News

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
8 декември 2024

„Стачка“ на роботи поражда опасения за сигурността

Тест в Шанхай разкрива способността на робот с изкуствен интелект д...
Бъдете социални
Още по темата
27/11/2024

Фишинг кампании атакуват ен...

Кибератаките са насочени към потребителите на...
22/11/2024

САЩ повдигат обвинения на п...

В сряда Министерството на правосъдието на...
22/11/2024

Microsoft предприема действ...

От 2017 г. насам Microsoft конфискува...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!