TrickBot обходит 2FA онлайн-банкинга с помощью Android-приложения

Олег Иванов 26 Марта 2020 - 10:00

Домашние пользователи

Android

IBM

Средства генерации одноразовых паролей (OTP)

Трояны

Взлом онлайн-банка

Взлом мобильного банка

...

TrickBot обходит 2FA онлайн-банкинга с помощью Android-приложения

Операторы TrickBot задействуют вредоносное Android-приложение для обхода двухфакторной аутентификации (2FA), которую используют различные банки для доступа клиентов к своим счетам.

Исследователи из команды IBM X-Force дали приложению имя — TrickMo. Киберпреступники постоянно дорабатывают и обновляют этот компонент.

Основная задача, которую злоумышленники возложили на TrickMo, — перехватывать одноразовые пароли (OTP), используемые банками для подтверждения транзакций.

Часто вредоносное приложение маскируют под «Avast Security Control» или утилиту «Deutsche Bank Security Control». После установки зловред перенаправляет текстовые сообщения с кодами операторам TrickBot.

Так у злоумышленников появляется возможность совершать несанкционированные мошеннические переводы денежных средств.

Команда IBM X-Force, проанализировавшая возможности TrickMo, отметила, что вредонос способен препятствовать удалению из системы. Для этого он может установить себя в качестве SMS-приложения по умолчанию.

«Изучив вредоносную составляющую, мы поняли, что TrickMo разработан специально для обхода современных технологий одноразовых паролей. Чтобы успешно перехватывать 2FA-коды, приложение задействует специальные возможности системы Android (accessibility services)», — пишут исследователи.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 02 Мая 2024 - 08:51

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Заказы клиентов сервиса доставки еды levelkitchen утекли в Сеть

На праздниках в общий доступ выложили крупный фрагмент базы платежных транзакций, связанных, предположительно, с сервисами доставки готовой еды, входящих в «Performance Group»: levelkitchen[.]com, m-food[.]ru, p-food[.]ru.

По данным телеграм-канала «Утечки информации», выложенный фрагмент содержит 63 870 строк и представляет собой часть более крупной компрометации. В дампе можно найти следующие сведения:

Имена и фамилии;
Адреса электронной почты;
Телефонные номера;
Неполные номера банковских карт, сроки действия, типы, а также выпустившие их банки;
Даты и время транзакций;
Номера и суммы транзакций;
Назначение платежа;
Страны и города проживания клиентов;
IP-адреса.

Впервые о взломе систем служб доставки стало известно 20 апреля. Тогда злоумышленники выложили отдельные файлы, связанные с финансами. На тот момент информации о сливе персональных данных клиентов ещё не было.

Пять дней спустя на одном из форумов дарквеба разместили объявление о продаже личной информации клиентов. Это были два текстовых файла: платежные транзакции и чеки.

Полная версия утечки, по словам исследователей, содержит 500 тыс. уникальных телефонных номеров и 430 тыс. уникальных имейлов. Утекшие данные датируются 25 апреля 2024 года.

TrickBot обходит 2FA онлайн-банкинга с помощью Android-приложения

Читайте также