Zero
Un nuovo membro della GPlayed Trojan è stato scoperto che è stato progettato per attaccare i clienti di un russo di proprietà di banca di stato.
All’inizio di questo mese, i ricercatori Cisco Talos ha rivelato GPlayed, “estremamente potente” Trojan che finge di essere un servizio di Google quando infettare dispositivi mobili Android.
Al momento della scoperta, i ricercatori hanno detto che credeva che il malware è stato ancora in fase di sviluppo a causa di indizi nel codice, ma questo non toglie il fatto che il Trojan è stato estremamente flessibile, utilizzato offuscamento, e contenuti forti e distruttivi per il furto di dati capacità.
Ora è stato scoperto che GPlayed non è il solo membro della nuova famiglia Trojan. Lunedì, Talos ha detto che il malware “fratello minore” è anche apparso sul radar.
Soprannominato “GPlayed Bancari,” la variante di un Trojan bancario costruito con un ruolo specifico — target di stato russo di proprietà di Sberbank i clienti che utilizzano la banca digitale AutoPay pagamenti del servizio.
Il malware sembra essere in grado di diffondersi attraverso campagne di phishing e app di terze parti archivi nello stesso modo come GPlayed.
La capacità di GPlayed Bancario non sono così ampie come il predecessore, tutti i dati ladro di funzionalità, ma il malware è in grado di sottrarre dati da un dispositivo di destinazione e inviare all’operatore di comando e controllo (C2) server.
Il malware è scritto in .NETTO di nello stesso modo come GPlayed e anch’essa, come un servizio di Google su Android.
CNET: Microsoft dirigenti di difendere offerta per NOI militari contratto
Codice dannoso che viene impiantato in una DLL chiamata PlayMarket.dll che dichiara di autorizzazioni tra cui BIND_DEVICE_ADMIN, che permette vicini al pieno controllo del dispositivo, attraverso il pacchetto di certificato.
Se il malware viene eseguito su un vulnerabili dispositivo, il Trojan inizia richiedendo modifiche alle impostazioni utente allo scopo di privilege escalation.
Anche se una vittima annullare pop-up richieste di permesso, che riapparirà ogni cinque secondi. Talos dice che il malware contiene anche la capacità di bloccare lo schermo, ma questo non è chiamato oggi.
Il Trojan quindi richiamare una WebView sovrapposizione sullo schermo e inviare un messaggio SMS al Sberbank AutoPay con la parola “equilibrio” in russo.
Se la vittima è un cliente e il servizio risponde, come lungo come il conto in banca che è al di sopra di 3.000, Trojan atti. Il malware sarà richiesta un valore di 66.000, abbassando in incrementi di 1.000 fino a quando la figura è determinato.
Un nuovo oggetto WebView è quindi creata, la richiesta di tale importo. Il malware può rimanere dormiente se il saldo è inferiore a 3.000.
TechRepublic: in che Modo le aziende amplificazione fino cybersecurity per impedire l’elezione di ingerenza
Tuttavia, al fine di completare la transazione fraudolenta, il malware ha bisogno di un codice di convalida. GPlayed Banking di analizzare eventuali arrivano messaggio contenente la parola “password” in russo, l’estrazione, la frase e la sua iniezione in WebView oggetto.
Una variabile in oggetto appare anche per mostrare come il Trojan tenta di eludere 3-D Secure anti-frode protezioni.
Vedi anche: British Airways: gli attacchi informatici, furto di dati più grande di quanto si pensava prima
GPlayed gli sviluppatori si sono dimostrati abili. Mentre il GPlayed malware Bancario in particolare gli obiettivi di un gruppo di clienti da un istituto finanziario, Talos ritiene che sarebbe un “banale” attività per loro di adattarsi al Trojan di destinazione di altre banche e servizi online.
Le Dll utilizzate da malware hanno un basso rilevamento rapporto, il che suggerisce che mentre il Trojan non è ancora uscito completamente in libertà per devastare gli utenti Android, “sicuramente hanno il potenziale di infettare un gran numero di utenti e potrebbe rapidamente dirottare un utente le credenziali bancarie”, secondo i ricercatori.
“Le intercettazioni di SMS i codici di validazione tecnica non è nuova per i Trojan bancari,” Cisco Talos dice. “Ma questo trojan bancario seguita dalla GPlayed trojan mostra una chiara evoluzione degli attori dietro questo malware famiglie. Sono andato da un semplice trojan bancario completo trojan con funzionalità di mai visto prima”.
Precedente e relativa copertura
FDA problemi richiamo di 465,000 St. Jude pacemaker per correggere falle di sicurezza Philips rivela l’esecuzione di codice vulnerabilità cardiovascolare dispositivi di Facebook deve pagare regno UNITO ICO di € 500.000 oltre Cambridge Analytica scandalo
Argomenti Correlati:
Bancario
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0