Anubis Android Banker מכוון כמעט 400 משתמשי אפליקציה פיננסית

הלגה סמית 'דצמבר 16, 2021עודכן לאחרונה: דצמבר 16, 2021
57 2 דקות לקרוא

חוקרי אבטחה מצאו כי בנקאי האנדרואיד אנוביס פעיל שוב וכעת הוא מכוון 394 משתמשים, כולל מוצרים ממוסדות פיננסיים, ארנקי מטבעות קריפטוגרפיים ופלטפורמות תשלום וירטואליות. באותו הזמן, תזהר מומחים כותבים כי מסע הפרסום של הבנקאי החדש עדיין בשלב הבדיקות והאופטימיזציה.

אנוביס זוהה לראשונה בפורומי האקרים ב 2016 כאשר הוא הופץ כטרויאני בנקאי בקוד פתוח עם הנחיות מפורטות כיצד ליישם את הלקוח ורכיבים שונים.

ב 2019, התוכנה הזדונית רכשה מודול תוכנת כופר והסתננה ל גוגל חנות משחקים, שימוש באפליקציות מזויפות להזרקה. ב 2020, הטרויאני השיק א קמפיין דיוג בקנה מידה גדול מיועד למשתמשים של 250 אפליקציות קניות ובנקים.

התוכנה הזדונית פועלת בצורה פשוטה: בדרך כלל אנוביס מציגה שכבות דיוג על גבי חלונות יישומים אמיתיים וגונבת אישורים שהוזנו על ידי המשתמש.

הגרסה החדשה של תוכנות זדוניות, נצפה על ידי תזהר מומחים, מטרות 394 יישומים ויש לו את התכונות הבאות:

  1. הקלטת פעילות המסך וצליל ממיקרופון;
  2. הטמעת שרת פרוקסי SOCKS5 לתקשורת סמויה ומשלוח מנות;
  3. שמירת צילומי מסך;
  4. הפצה המונית של הודעות SMS מהמכשיר לנמענים שצוינו;
  5. אחזור של אנשי קשר המאוחסנים במכשיר;
  6. שְׁלִיחָה, קריאה, מחיקה וחסימת התראות עבור הודעות SMS שהתקבלו במכשיר;
  7. סריקת המכשיר בחיפוש אחר קבצים המעניינים האקרים לצורך גניבה;
  8. לנעול את מסך המכשיר ולהציג את דרישת הכופר;
  9. שליחת בקשות USSD כדי לברר את מצב החשבונות;
  10. איסוף נתוני GPS וסטטיסטיקות מד צעדים;
  11. יישום של keylogger לגניבת אישורים;
  12. ניטור של אפליקציות פעילות המבצעות התקפות שכבת-על;
  13. הפסקת תוכניות זדוניות אחרות והסרה של תוכנות זדוניות מתחרות מהמכשיר.

כמו בגרסאות קודמות של אנוביס, התוכנה הזדונית מזהה אם Google Play Protected מופעל במכשיר המושפע, ואז שולח אזהרת מערכת מזויפת כדי להערים על המשתמש לכבות אותה. זה נותן לטרויאני גישה מלאה למכשיר ואת החופש לשלוח ולקבל נתונים מה-C&שרת C ללא כל הפרעה.

Google Play Protect

מומחים מדווחים כי הפעם התוקפים ניסו להגיש את fr.orange.serviceapp חבילה לחנות Google Play ביולי 2021, אבל אז בקשתם נדחתה. ככל הנראה, זה היה רק ​​ניסיון לבדוק את מערכות Google להגנה מפני תוכנות זדוניות, מאז יישמו התוקפים רק חלקית את תוכנית הערפול שלהם.

עד כה, הפצת האפליקציה הזדונית כתום SA, מצויד בגרסה חדשה של אנוביס, מתרחש דרך אתרי צד שלישי, פוסטים ברשתות חברתיות, בפורומים, וכולי. באותו הזמן, הקמפיין הזדוני מכוון לא רק ללקוחות צרפתיים של Orange SA, אלא גם משתמשים אמריקאים, כולל לקוחות של בנק אמריקה, הבנק האמריקאי, Capital One, מִרדָף, SunTrust ו וולס פארגו.

בהתחשב בעובדה שקוד אנוביס הופץ זה מכבר בפורומים רבים של האקרים, הוא משמש האקרים רבים, ועכשיו קשה מאוד להבין מי עומד מאחורי הגרסה החדשה של הטרויאני. בנוסף, התוקפים מנסים להסתיר את עקבותיהם ומשתמשים ב-Cloudflare כדי לנתב מחדש את כל תעבורת הרשת באמצעות SSL, בעוד ה-C&שרת C מסווה כמחליף מטבעות קריפטוגרפיים באמצעות הדומיין https://quickbitrade[.]עם.

תן לי להזכיר לך שגם אמרנו את זה SharkBot אנדרואיד טרויאני גונב מטבעות קריפטו ופורצים חשבונות בנק.

תגים
הלגה סמית 'דצמבר 16, 2021עודכן לאחרונה: דצמבר 16, 2021
57 2 דקות לקרוא

הלגה סמית '

תמיד התעניינתי במדעי המחשב, במיוחד אבטחת נתונים והנושא, שנקרא בימינו "מדע נתונים", מאז שנות העשרה המוקדמות שלי. לפני שנכנסתי לצוות הסרת וירוסים כעורך ראשי, עבדתי כמומחה לאבטחת סייבר בכמה חברות, כולל אחד מקבלני אמזון. חוויה נוספת: יש לי ללמד באוניברסיטאות ארדן ורידינג.

השאר תגובה

אתר זה משתמש Akismet להפחית זבל. למד כיצד נתוני תגובתך מעובד.

כפתור חזרה למעלה