Malver Toddler prazni bankovne račune korisnika Android telefona

Mobilni telefoni, 20.07.2021, 09:30 AM

Malver Toddler prazni bankovne račune korisnika Android telefona

Novi malver za Android širi se po Evropi. Malver nazvan Toddler prvi put je primećen u januaru ove godine. Trojanac kojeg su otkrili istraživači iz frime Cleafy, iako je još uvek u fazi razvoja, korišćen je u napadima na korisnike 60 evropskih banaka.

Prošlog meseca proizvođač antivirusa Bitdefender je objavio da su Španija i Italija žarišta infekcija, mada su na meti takođe i banke u Velikoj Britaniji, Francuskoj, Belgiji, Australiji i Holandiji. U Španiji su ovim malverom do sada zaražena najmanje 7632 mobilna uređaja.

Istraživači su na serveru koji koriste sajber kriminalci pronašli podatke za prijavu na račune više od 1000 korisnika banaka.

Vektori infekcije se razlikuju. Iako trojanac do sada nije pronađen u Google Play prodavnici, primećeno je da su brojni legitimni veb sajtovi kompromitovani i iskorišćeni za distribuciju malvera Toddler.

Iako je Toddler konfigurisan da cilja korisnike „desetina“ banaka širom Evrope, 100% do sada otkrivenih infekcija su infekcije uređaja korisnika samo 18 banaka. Šta više, 90% inficiranih su korisnici pet banaka što ukazuje na uspešnu fišing kampanju koja se oslanja na SMS.

Toddler ima sve funkcije koje biste očekivali od ove vrste malvera: mogućnost krađe podataka, uključujući podatke o bankovnim računima, keylogging, pravljenje snimaka ekrana, presretanje kodova za dvofaktorsku potvrdu identiteta (2FA), presretanje SMS-a i povezivanje sa C2 serverom napadača radi prenosa informacija, prihvatanje naredbi i povezivanje zaraženog uređaja sa botnet mrežom.

Trojanac će koristiti tzv. “overlay” napade da bi žrtve prevario da predaju svoje podatke za prijavu na bankovne račune prikazujući lažne ekrane za prijavljivanje. Nakon instalacije, malver nadgleda koje se aplikacije otvaraju, a kada se ciljna aplikacija pokrene, napad sa prekrivanjem aplikacije lažnim prozorom započinje.

„Toddler sa svog servera preuzima posebno napravljenu stranicu za prijavu za otvorenu ciljnu aplikaciju“, kažu istraživači iz firme PRODAFT koji su svoja saznanja o malveru podelili sa ZDNetom. „Preuzeta stranica se zatim postavlja preko ciljne aplikacije. Korisnik ništa ne sumnja jer se ovo dešava gotovo istog trenutka kada se legitimna aplikacija otvori.“

Malver će takođe pokušati da ukrade i druge podatke, poput onih koji se koriste za pristup novčanicima kriptovaluta.

Spisak naredbi C2 uključuje aktiviranje ekrana zaraženog uređaja, podnošenje zahteva za dozvolu, promenu nivoa jačine zvuka, preuzimanje kodova iz Google Authenticatora pomoću usluge pristupačnosti Androida i deinstaliranje aplikacija.

Toddler ima više mehanizama pomoću kojih opstaje na uređaju, od kojih je najznačajniji sprečavanje ponovnog pokretanja zaraženog uređaja zloupotrebom funkcija pristupačnosti.

Toddler takođe može sprečiti upotrebu slušalice u bezbednom režimu.

„Uklanjanje malvera sa uređaja zahteva ogromnu tehničku stručnost a izgleda da taj proces ni u budućnosti neće biti lakši“, upozorili su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google najavio nova upozorenja na Androidu za nepoznate uređaje za praćenje

Google najavio nova upozorenja na Androidu za nepoznate uređaje za praćenje

Google će ažurirati upozorenja za nepoznate uređaje za praćenje koja bi vlasnicima Android uređaja trebalo da olakšaju njihovo otkrivanje, najav... Dalje

Ove lažne ponude za posao kriju bankarskog trojanca za Android

Ove lažne ponude za posao kriju bankarskog trojanca za Android

Tim istraživača Zlabsa iz kompanije Zimperium otkrio je sofisticiranu mobilnu phishing kampanju (Mishing) koja distribuira novu varijantu bankarskog... Dalje

Špijunski malver za Android imitira popularnu aplikaciju sa Google Play

Špijunski malver za Android imitira popularnu aplikaciju sa Google Play

Istraživači Citizen Lab-a otkrili su novi malver za Android analizirajući softver koji je ruska Federalna služba bezbednosti (FSB) instalirala na ... Dalje

Niko nije bezbedan: zloglasni špijunski softver Pegaz pronađen na telefonima ''običnih'' ljudi

Niko nije bezbedan: zloglasni špijunski softver Pegaz pronađen na telefonima ''običnih'' ljudi

Moćni špijunski softver Pegaz mogao bi biti rašireniji nego što se ranije mislilo. Mobilna bezbednosna platforma iVerify otkrila je sedam infekci... Dalje

Novi Android bankarski trojanac krade lozinke za aplikacije banaka i kripto-berze

Novi Android bankarski trojanac krade lozinke za aplikacije banaka i kripto-berze

Istraživači iz kompanije Cleafy otkrili su novog Android bankarskog trojanca pod nazivom „DroidBot“ koji krade podatke za prijavljivanje... Dalje