Nul
Et nyt medlem af GPlayed Trojan er blevet opdaget, som er blevet designet til at angribe kunder af en russisk-ejede bank.
Tidligere i denne måned, forskere fra Cisco Talos afsløret GPlayed, en “meget stærk” Trojan, som foregiver at være en Google-tjeneste, når inficere Android mobile enheder.
På tidspunktet for opdagelsen, forskerne sagde, at de troede, den malware, der stadig var i udvikling på grund af spor i koden — men det gjorde ikke aflede opmærksomheden fra det faktum, at den Trojanske hest var yderst fleksible, anvendes formørkelse, og indeholdt stærke destruktive og data-stjæle kapaciteter.
Det har nu vist sig, at GPlayed er ikke det eneste medlem af den nye Trojanske familie. Mandag, Talos sagde, at malware er “lillebror” er også dukket op på radaren.
Døbt “GPlayed Banking,” variant er en bank Trojan, der er bygget med en særlig rolle — at målrette russiske statsejede Sberbank kunder, som bruger bankens digitale AutoPay betalinger service.
Den malware, der ser ud til at være i stand til at sprede sig via phishing-kampagner og tredje-parts app arkiver på samme måde som GPlayed.
Kapacitet af GPlayed Bank er ikke helt så omfattende som forgængeren ‘s all-around data stealer funktionalitet, men malware er stadig i stand til at exfiltrate data fra en mål-enheden og sende den til operatøren’ s kommando-og-kontrol (C2) – server.
Malware er skrevet i .NET på samme måde som GPlayed og også er forklædt som en Google-tjeneste på Android.
CNET: Microsoft execs forsvare bud for OS militære kontrakt
Skadelig kode er indsat i en DLL, kaldet PlayMarket.dll, som erklærer, tilladelser, herunder BIND_DEVICE_ADMIN — som tillader næsten fuld kontrol enhed-gennem den pakke, s-certifikatet.
Hvis malware er udført på en sårbar enhed, den Trojanske begynder ved at anmode om ændringer til brugerens indstillinger for formålet med rettighedsforøgelse.
Selv hvis et offer annullere pop-up tilladelse anmodninger, vil de igen hvert femte sekund. Talos siger, at malware, der også indeholder evnen til at låse enhedens skærm, men dette er ikke kaldet til stede.
Den Trojan vil derefter ringe op til et WebView screen overlay og sende en SMS-besked til Sberbank AutoPay med ordet “balance” i russisk.
Hvis ofret er en kunde-og service reagerer, så længe bank konto saldo er over 3.000, den Trojanske handlinger. Malware vil anmode om en værdi på over 66.000, sænkning i intervaller af 1.000, indtil de tilgængelige tal er opgjort.
En ny WebView objekt er derefter lavet, der anmoder om dette beløb. Malware vil forblive i dvale, hvis kontoens saldo er mindre end 3.000.
TechRepublic: Hvordan virksomheder er amping op internetsikkerhed for at forhindre valget indblanding
Imidlertid, for at fuldføre svigagtige transaktioner, malware behov for en validering af koden. GPlayed Bank vil analysere enhver, der ankommer meddelelse, der indeholder ordet “password” i russisk, udvinder sætning og injicere det i WebView objekt.
En variabel i objektet også ud til at vise, hvordan den Trojanske forsøg på at omgå 3-D Secure anti-bedrageri beskyttelse.
Se også: British Airways: Cyberattack, tyveri af data, der er større end vi først troede
GPlayed ‘ s udviklere har vist sig kvalificeret. Mens GPlayed Bank-malware specifikt rettet mod en gruppe af kunder fra en finansiel institution, Talos mener, at det ville være en “triviel” opgave for dem at tilpasse sig den Trojanske til at målrette andre banker og online-tjenester.
De Dll-filer bruges af malware har en lav afsløring af forhold, der tyder på, at mens den Trojan er endnu ikke frigivet fuldt ud i naturen for at skabe ravage på Android-brugere, “de har bestemt potentiale til at inficere et stort antal brugere, og kan hurtigt kapre en brugers banking legitimationsoplysninger,” ifølge forskerne.
“Aflytning af SMS validering koder teknikken er ikke ny for banking Trojanske heste,” Cisco Talos siger. “Men denne bank trojan efterfulgt af GPlayed trojan viser en klar udvikling af aktørerne bag denne malware familier. De gik fra en simpel banking trojanske til et fuldgyldigt trojan med kapaciteter aldrig har set før.”
Tidligere og relaterede dækning
FDA spørgsmål tilbagekaldelse af 465,000 St. Jude pacemaker til at lappe sikkerhedshuller Philips afslører kode sårbarheder i hjerte-kar-udstyr Facebook skal betale BRITISKE ICO £500,000 over Cambridge Analytica skandale
Relaterede Emner:
Bank
Sikkerhed-TV
Data Management
CXO
Datacentre
0