Quick Heal Security Labs odhalila nebezpečný android malware, který se zaměřuje na více než 232 bankovních aplikací, včetně aplikací pro kryptoměny. Malware je známý jako Android.banker.A2f8a (dříve detekován jako Android.banker.A9480).
Stejně jako většina jiných malwarů pro android banking, i tento je určen k odcizení přihlašovacích údajů, napadení SMS, nahrávání seznamů kontaktů a SMS na škodlivý server, zobrazování překryvné obrazovky (zachycení detailů) nad legitimní aplikací a provádění dalších takových škodlivých činností.
Infekční vektor
Aplikace Android.banker.A2f8a se šíří prostřednictvím falešné aplikace Flash Player v obchodech třetích stran. To není překvapující vzhledem k tomu, že Adobe Flash je jedním z nejrozšířenějších produktů na internetu. Vzhledem k jeho popularitě a globální instalační základně je často terčem útočníků.
Technická analýza
Po instalaci škodlivé aplikace požádá uživatele, aby aktivoval práva pro správu. A i když uživatel požadavek odmítne nebo ukončí tento proces, bude aplikace stále zobrazovat kontinuální vyskakovací okna, dokud uživatel neaktivuje oprávnění administrátora. Až se to stane, škodlivá aplikace skryje svou ikonu brzy poté, co na ni uživatel klikne.
Aplikace v pozadí provádí škodlivé úkoly – stále kontroluje nainstalovanou aplikaci na zařízení oběti a zejména vyhledává 232 aplikací (pro bankovnictví a některé aplikace pro kryptoměny).
Pokud se na infikovaném zařízení nachází některá z cílených aplikací, aplikace zobrazí falešné oznámení jménem cílené bankovní aplikace. Pokud uživatel klikne na oznámení, zobrazí se falešná přihlašovací obrazovka, která ukradne důvěrné informace uživatele, jako je ID a heslo pro přihlášení k bankovnímu účtu.
Během analýzy Quick Heal Security Labs zjistila, že malware byl schopen přijímat a zpracovávat následující příkazy ze serveru C & C:
| Send_GO_SMS | Send an SMS |
| GetSWSGO | Collect all SMS from the device |
| nymBePsG0 | Upload list of contacts to a malicious server |
| telbookgotext | Send SMS to all contacts with the text from its command |
| StartAutoPush | Show fake notification |
| RequestPermissionInj | ACCESSIBILITY Permission |
| RequestPermissionGPS | GPS Permission |
| killBot | Set all urls null in Shared Preferences |
| getIP | Upload location to a malicious server |
| ussd | Send a USSD request |
1. Kdykoli klient obdrží od serveru příkaz „startAutoPush“, zobrazí se s ikonou cílené aplikace falešné oznámení (název: „Urgentní zpráva!“ A text: „Potvrďte svůj účet“). Kliknutím na oznámení uživatel přejde na falešnou přihlašovací stránku, jak bylo popsáno výše.
2. Malware může zachytit všechny příchozí a odchozí zprávy SMS z infikovaného zařízení. To umožňuje útočníkům zabránit dvoufaktorové autentizaci k bankovním účtu oběti založené na SMS (OTP). Malware byl také schopen odesílat SMS s dynamicky přijatým textem a číslem ze strany serveru.
3. Kdykoli klient obdrží příkaz „GetSWSGO“ ze serveru, shromáždí všechny SMS uložené v zařízení a nahraje je na škodlivý server.
4. Malware může také nastavit hlasitost vyzvánění na tiché, aby potlačila oznámení SMS.
5. Kdykoli klient obdrží od serveru příkaz „nymBePsG0“, odešle kontakty oběti na škodlivý server.
Cílené aplikace zaměřené na kryptoměny:
bitfinex.bfxapp (Bitfinex)
veken0m.cavirtex (Bitcoinium)
brothas.mtgoxwidget (Bitcoin Ticker Widget)
master.cointransaction (Bitcoin/Altcoin chart, alarm, ticker)
leowandersleb.bitcoinsw (Flux Bitcoin Widget)
ozgur.btcprice (Bitcoin Price)
coinprices.allexchanges (Crypto Prices All-in-One)
blockchain.android (Blockchain – Bitcoin & Ether Wallet)
blockchain.merchant (Blockchain Merchant)
hyperwallet.wubsprepaid (WUBS Prepaid)
blocktrail.mywallet (BTC.com – Bitcoin Wallet)
claimyourbits.btcsafari (BTC SAFARI – Free Bitcoin)
handyapps.bitcoinpriceiq (Bitcoin Price IQ)
schildbach.wallet (Bitcoin Wallet)
blockfolio.blockfolio (Blockfolio Bitcoin / Altcoin App)
org.freewallet.app (Bitcoin Wallet by Freewallet)
bitcoin.crane.money (Bitcoin NewsCrane)
coinmarketapp.app (Bitcoin CoinMarketCap.com (unofficial) / Altcoin)
coinpayments.coinpaymentsapp (CoinPayments)
org.freewallet.app (Bitcoin Cash Wallet by Freewallet)
cenci7.coinmarketcapp (CoinMarketCapp – Blockchain Cryptocurrencies)
benzneststudios.cryptostory (CryptoStory – Cryptocurrency Portfolio)
langerhans.wallet (Dogecoin Wallet)
Zdroj: quickheal.com
