Noll
En ny medlem i GPlayed Trojan har upptäckts som har utformats för att attackera kunder av ett rysk-finskt state bank.
Tidigare denna månad, forskare från Cisco Talos visade GPlayed, en “extremt stark” Trojan som låtsas vara en Google-tjänst när infekterar mobila Android-enheter.
Vid tiden för upptäckt, forskarna sade att de trodde att det skadliga programmet var fortfarande i utveckling på grund av ledtrådar i koden-men det har inte förringa det faktum Trojan var extremt flexibel, används för mörkläggning, och innehöll starka destruktiva och data-stjäla kapacitet.
Det har nu konstaterats att GPlayed är inte den enda medlem av nya Trojan familj. På måndag, Talos sade att skadlig kod är “lillebror” har också dykt upp på radarn.
Dubbat “GPlayed Banking,” den varianten är en bank Trojan byggd med en specifik roll — att rikta statsägda ryska Sberbank kunder som använder bankens digitala AutoPay betalningar service.
Malware verkar kunna spridas via phishing-kampanjer och tredje part app förråd på samma sätt som GPlayed.
Kapacitet GPlayed Bank är inte riktigt lika omfattande som föregångare all-around data stealer funktionalitet men malware är fortfarande kunna exfiltrate data från en målenhet och skicka den till förarens kommando-och-kontroll (C2) server.
Skadlig kod är skriven i .NETTO på samma sätt som GPlayed och också utger sig för att vara en Google-tjänst på Android.
CNET: Microsoft chefer försvara bud för USA: s militära kontrakt
Skadlig kod är inopererad i en DLL-fil som heter PlayMarket.dll som förklarar behörigheter inklusive BIND_DEVICE_ADMIN — som tillåter nära full kontroll enhet-genom paketets certifikat.
Om det skadliga programmet körs på en sårbar enhet, den Trojanska börjar genom att begära ändringar av användares inställningar för att utökning av privilegier.
Även om ett offer avbryta popup-tillstånd önskemål, kommer de att visas varje fem sekunder. Talos säger att det skadliga programmet innehåller också möjlighet att låsa skärmen på enheten, men detta kallas inte för närvarande.
Den Trojanska kommer då att ringa upp en WebView screen overlay och skicka ett SMS-meddelande till Sberbank AutoPay med ordet “balans” i ryska.
Om offret är en kund och tjänsten svarar, så länge banken saldo är över 3,000, Trojanska handlingar. Malware kommer att begära ett värde av 66,000, sänks i steg om 1 000 tills tillgängliga figur bestäms.
En ny WebView objekt skapas sedan, begära detta belopp. Malware kommer att förbli vilande om kontots saldo är mindre än 3 000.
TechRepublic: Hur företag amping upp it-säkerhet för att förhindra inblandning val
Men för att slutföra bedräglig transaktion, skadlig kod behöver en verifieringskod. GPlayed Bank kommer att tolka något som anländer meddelande som innehåller ordet “lösenord” på ryska, utvinna fras och injicera det i den WebView objekt.
En variabel i objektet verkar också för att visa hur det Trojanska försök att kringgå 3-D Secure anti-bedrägeri-skydd.
Se även: British Airways: Cyberattack, data stöld, större än vi först trodde
GPlayed utvecklare har visat sig duktiga. Medan GPlayed Bank-skadliga program som specifikt riktar sig till en grupp av kunder från ett finansiellt institut, Talos anser att det skulle vara en “trivial” uppgift för dem att anpassa den Trojanska att rikta andra banker och online-tjänster.
Dll-filer som används av skadlig kod har en låg upptäckt förhållandet, vilket tyder på att även den Trojanska är ännu inte släppt helt och hållet i det vilda för att anställa förödelse på Android-användare, “de har verkligen potential att infektera ett stort antal användare och kan snabbt kapa en användares bank referenser”, enligt forskarna.
“Avlyssning av SMS validering koder teknik är inte ny för banktrojaner,” Cisco Talos säger. “Men denna bank trojan följt av GPlayed trojan visar en klar ökning av aktörerna bakom detta malware familjer. De gick från en enkel bank trojan till en fullfjädrad trojan med kapacitet aldrig sett förut.”
Tidigare och relaterade täckning
FDA frågor återkallande av 465,000 St. Jude pacemaker för att lappa säkerhetshål Philips avslöjar kod sårbarheter i hjärt-enheter Facebook måste betala STORBRITANNIENS ICO £500,000 över Cambridge Analytica skandal
Relaterade Ämnen:
Bank
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0