Новая модификация мобильного троянца крадет банковские данные

Новая модификация мобильного троянца крадет банковские данные

Новая модификация мобильного троянца крадет банковские данные

Эксперты «Лаборатории Касперского» обнаружили новую модификацию мобильного банковского троянца Svpeng, который получил функциональность кейлоггера — то есть научился записывать нажатия клавиш на устройстве. Делает он это, эксплуатируя функции Android для людей с ограниченными возможностями.

Троянец распространяется через вредоносные веб-сайты под видом фальшивого Flash-плеера. После активации Svpeng запрашивает права доступа к функциям для людей с ограниченными возможностями. Вместе с ними он приобретает много дополнительных привилегий: например, получает доступ к интерфейсу других приложений и возможность делать скриншоты экрана каждый раз, когда на виртуальной клавиатуре набирается символ.

К наиболее опасным привилегиям, которыми наделяет себя Svpeng для сбора данных, относится возможность перекрывать окна других программ. Это необходимо ему, потому что некоторые приложения, в частности банковские, запрещают делать скриншоты во время своего отображения на экране. В таких случаях троянец выводит поверх приложения собственное фишинговое окно, куда пользователь и вводит данные, однако получают их уже киберпреступники. Исследователи обнаружили целый список фишинговых адресов, с помощью которых троянец атакует приложения нескольких ведущих банков Европы.

Кроме того, троянец назначает себя приложением для СМС по умолчанию, а также выдает себе права совершать звонки, доступ к контактам и возможность блокировать любые попытки отключить его администраторские привилегии. Таким образом, он делает свое удаление максимально трудным. При этом исследователи отмечают, что Svpeng способен воровать данные даже на полностью обновленных устройствах с последней версией Android.

Авторы данной модификации троянца еще не развернули свою активность в полную силу, поэтому общее число атак невелико. Большинство из них пришлись на Россию (29%), Германию (27%), Турцию (15%), Польшу (6%) и Францию (3%). При этом Svpeng обладает интересной особенностью: он не работает на устройствах с русским языком интерфейса. Такую тактику часто используют российские киберпреступники, которые стараются избежать проблем с законом после запуска зловредов.

«Использование функций для людей с ограниченными возможностями — новый этап развития мобильных банковских вредоносов, так как это позволяет троянцам обходить многие защитные механизмы, появившиеся в последних версиях Android. Кроме того, использование специальных возможностей на устройстве позволяет злоумышленникам воровать гораздо больше данных, чем раньше. Поэтому совсем не удивительно, что Svpeng движется в этом направлении. Это семейство троянцев хорошо известно своими постоянными обновлениями, которые делают его одним из самых опасных зловредов. Svpeng был в первых рядах среди тех, кто научился атаковать СМС-банкинг, перекрывать банковские приложения фишинговыми страницами для кражи данных, а также блокировать устройства и требовать выкуп. Поэтому мы отслеживаем все изменения функционала этого троянца», — отметил Роман Унучек, старший антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый ботнет использует утилиту hping3 для проведения DDoS-атак

В интернете объявился новый, активно развиваемый DDoS-зловред. Проведенный в NSFOCUS анализ показал, что новобранец, нареченный hpingbot, написан с нуля на Go и нацелен на платформы Windows и Linux/IoT.

Обнаруженный в прошлом месяце троян (результат VirusTotal на 4 июля — 13/72) также поддерживает множество архитектур CPU, включая amd64, mips, arm и 80386. В настоящее время в состав созданного на его основе ботнета входят немногим более 14,6 тыс. зараженных устройств.

Для своей работы hpingbot использует совсем другие ресурсы, нежели многочисленные производные Mirai и Gafgyt: прячет полезную нагрузку на Pastebin, а DDoS-атаки проводит с помощью hping3 — бесплатного инструмента диагностики сетей, похожего на ICMP ping.

Подобный подход не только повышает шансы зловреда на сокрытие от обнаружения, но также значительно снижает стоимость его разработки и операционные расходы.

Ссылки на Pastebin жестко прописаны в коде hpingbot. Отдаваемый с сайта пейлоад (IP-адреса C2, скрипты для загрузки дополнительных компонентов) часто сменяется.

Из техник DDoS вредоносу подвластен флуд — SYN, TCP, ACK, UDP и многовекторный. Примечательно, что Windows-версия трояна не способна оперировать hping3 из-за ограничений по внешним условиям, она в основном заточена под загрузку и запуск дополнительных модулей.

Из последних был выявлен написанный на Go генератор DDoS-флуда (UDP и TCP), который с 19 июня загружается на ботнет для тестирования. Он связан с теми же C2, но не имеет доступа к Pastebin, не вызывает hping3 и не умеет обновляться.

Распространяется hpingbot через брутфорс SSH, используя специальный модуль. Закрепиться в системе зловреду помогают Systemd, SysVinit и Cron, после выполнения своих задач он удаляет свои файлы и подчищает логи.

Зафиксированные DDoS-атаки с ботнета пока немногочисленны — по всей видимости, операторы пока сосредоточены на наращивании потенциала.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru