Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерена кампания, насочена към потребителите на Android в Индия, с цел кражба на лична и банкова информация.
Кампанията, наречена FatBoyPanel, включва използването на повече от 1000 зловредни приложения за кражба на информация и се различава от типичните мобилни зловредни кампании, тъй като използва живи телефонни номера за пренасочване на текстови съобщения, вместо сървъри за управление и контрол (C&C) за кражба на еднократни пароли (OTP).
Според Zimperium атаките са организирани от един-единствен колектив, който е използвал приблизително 1000 телефонни номера за събиране на потребителска информация. Компанията също така е идентифицирала около 900 образци на зловреден софтуер, свързани с кампанията, които са насочени предимно към потребителите на индийски банки.
„Анализът на събраните образци разкрива общи структури на кода, елементи на потребителския интерфейс и лога на приложенията, което предполага координирани усилия на един-единствен колектив, насочени към мобилни устройства с операционна система Android“, заяви Zimperium в изследователска бележка.
Компанията заяви, че е открила повече от 220 публично достъпни бъкети за съхранение на Firebase, в които колективът е съхранил 2,5 гигабайта информация, като например SMS съобщения от банки, данни за карти и банкови сметки и данни за държавни документи за самоличност, и изчислява, че са били компрометирани 50 000 потребители.
Кампанията е разчитала на WhatsApp за разпространението на APK файлове, представящи се за правителствени или банкови приложения, но които вместо това са инсталирали зловреден софтуер, подмамвайки потребителите да разкрият чувствителната си информация.
„Зловредният софтуер се възползва от разрешенията за SMS, за да прихваща и екфилтрира съобщения, включително OTP, улеснявайки неоторизирани трансакции. Освен това той използва скрити техники, за да скрие иконата си и да се противопостави на деинсталирането, като осигурява постоянство на компрометираните устройства“, заяви Zimperium.
Компютърът заяви, че зловредното приложение ексфилтрира жертвите чрез улавяне и препращане на SMS съобщения, чрез изпращане на откраднатите съобщения до бази данни Firebase, действащи като C&C сървъри, или чрез комбиниране на двете техники.
Приложенията разполагат с твърдо кодирани телефонни номера, към които ексфилтрират OTP и SMS съобщения, „което предполага, че тези номера са или директно контролирани от нападателите, или принадлежат на компрометирани лица под техен контрол“.
Фирмата за киберсигурност също така откри, че базите данни на Firebase, съхраняващи откраднатата информация, нямат механизъм за удостоверяване, което означава, че са достъпни за всеки, разкривайки данните на администратора и телефонните номера, използвани за ексфилтрация.
Чрез достъп до административното табло на нападателите Zimperium откри телефонните номера, използвани при атаките, и заключи, че това е позволило на множество потребители да управляват кампанията. Zimperium проследи твърдо кодираните телефонни номера до конкретни региони в Индия, като Западна Бенгалия, Бихар и Джаркханд.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
