Обнаружена обновленная версия шпионского ПО Banker для Android (откроется в новой вкладке), которое крадет банковские реквизиты жертвы, а в некоторых случаях, возможно, даже деньги.
По данным исследователей кибербезопасности Microsoft (откроется в новой вкладке), неизвестный злоумышленник запустил смишинговую кампанию (SMS-фишинг), пытаясь обманом заставить людей загрузить TrojanSpy:AndroidOS/Banker .EITHER. Это вариант вредоносного ПО (откроется в новой вкладке), способный извлекать все типы конфиденциальной информации, включая коды двухфакторной аутентификации (2FA), учетные данные и пароли для входа в учетную запись, а также другую личную информацию (PII).
Что делает это нападение особенно тревожным, так это секретность всей операции.
Выдача крупных разрешений
После того как пользователь загрузит вредоносное ПО, ему необходимо предоставить некоторые разрешения, такие как MainActivity, AutoStartService и RestartBroadCastReceiverAndroid.
Это позволяет перехватывать звонки, получать доступ к журналам вызовов, сообщениям, контактам и даже сетевой информации. Имея возможность делать это, вредоносное ПО также может получать и считывать входящие коды двухфакторной аутентификации через SMS и удалять их, чтобы жертва не заподозрила ничего подозрительного.
Что еще хуже, приложение может выполнять команды в беззвучном режиме, а это означает, что входящие коды 2FA через SMS можно получать, читать и удалять в полной тишине: ни звука уведомления, ни вибрации, ни подсветки экрана, ничего.
Стоящие за кампанией субъекты угроз неизвестны, но Microsoft точно знает, что к приложению, впервые представленному в 2021 году и с тех пор значительно улучшенному, можно получить удаленный доступ.
Последствия нападения также вызывают беспокойство, поскольку трудно определить, какие именно люди пострадали. В прошлом году было замечено, что Banker атаковал только индийских потребителей, а учитывая, что в фишинговых SMS-сообщениях содержится логотип индийского банка ICICI, можно с уверенностью предположить, что индийские пользователи также находятся под прицелом esta vez.
«Некоторые из вредоносных APK-файлов также используют тот же логотип индийского банка, что и фальшивое приложение, которое мы исследовали, что может указывать на то, что злоумышленники постоянно создают новые версии для продолжения кампании», — говорят исследователи.
Через: Реестр (откроется в новой вкладке)