Обновленная версия Банкира Android (откроется в новой вкладке) Обнаружено шпионское ПО, похищающее банковские реквизиты жертвы, а в некоторых случаях, возможно, даже деньги.
По мнению исследователей кибербезопасности из Microsoft (откроется в новой вкладке), неизвестный злоумышленник инициировал смишинг-кампанию (SMS-фишинг), с помощью которой он пытается обманом заставить людей загрузить TrojanSpy:AndroidOS/Banker.O. Это вредоносное ПО (откроется в новой вкладке) вариант, который способен извлекать все виды конфиденциальной информации, включая коды двухфакторной аутентификации (2FA), данные для входа в учетную запись и другую личную информацию (PII).
Что делает эту атаку особенно тревожной, так это то, насколько скрытно работает вся операция.
Предоставление основных разрешений
Как только пользователь загружает вредоносное ПО, ему необходимо предоставить определенные разрешения, такие как MainActivity, AutoStartService и RestartBroadCastReceiverAndroid.
Это позволяет ему перехватывать звонки, получать доступ к журналам вызовов, сообщениям, контактам и даже сетевой информации. Обладая такими возможностями, вредоносное ПО также может получать и считывать коды двухфакторной аутентификации, приходящие по SMS, и удалять их, чтобы убедиться, что жертва не заподозрила ничего подозрительного.
Что еще хуже, в приложении разрешена бесшумная команда, что означает, что коды 2FA, поступающие через SMS, могут быть получены, прочитаны и удалены в полной тишине — ни звуков уведомлений, ни вибрации, ни подсветки экрана, ничего.
Субъекты угрозы, стоящие за этой кампанией, неизвестны, но Microsoft точно знает, что к приложению, впервые появившемуся в 2021 году и значительно обновленному с тех пор, можно получить удаленный доступ.
Масштаб атаки также неизвестен, так как трудно точно определить, сколько людей пострадало. В прошлом году Banker атаковал только индийских потребителей, и, учитывая, что фишинговое SMS содержит логотип индийского банка ICICI, можно с уверенностью предположить, что и на этот раз индийские пользователи находятся под прицелом.
«Некоторые из вредоносных APK-файлов также используют тот же логотип индийского банка, что и поддельное приложение, которое мы исследовали, что может указывать на то, что злоумышленники постоянно создают новые версии для продолжения кампании», — заявили исследователи.
С помощью: Регистр (откроется в новой вкладке)
