Вредоносное ПО Hydra нацелено на клиентов второго по величине банка Германии

33
Количество DDoS-атак на российские компании в 2021 году увеличилось почти втрое

Банковский троян Hydra снова нацелен на пользователей европейской платформы электронного банкинга, в частности, на клиентов Commerzbank, второго по величине финансового учреждения Германии.

Команда MalwareHunterTeam обнаружила вредоносное ПО двухлетней давности в рамках новой кампании по распространению, нацеленной на немецких пользователей с помощью вредоносного APK-файла под названием «Commerzbank Security» и с использованием того же значка, что и в официальном приложении.

Это вызвало интерес исследователей Cyble, которые взяли образец файла для более глубокого анализа, который выявил мощный инструмент фишинга с широким доступом к разрешениям.

Множество разрешений

Сайбл обнаружил, что приложение с гидрой запрашивает 21 разрешение, в первую очередь «BIND-ACCESSIBILITY_PERMISSION» и «BIND_DEVICE_ADMIN», два чрезвычайно рискованных разрешения. Первый гарантирует, что приложение всегда работает в фоновом режиме, отслеживая и перехватывая все данные, которые приходят и отправляются с устройства. Последний практически дает троянцу права администратора на устройстве, поэтому открывается широкий спектр возможностей для эксплуатации.

Этими разрешениями можно злоупотреблять для доступа к содержимому SMS, отправки SMS, отображения системных предупреждений, изменения настроек устройства, выполнения вызовов, записи и чтения внешнего хранилища, изменения настроек Wi-Fi, установки дополнительных приложений и т. Д.

Ни одно из этих действий не требует взаимодействия со стороны пострадавшего пользователя, поэтому, как только вредоносная программа заразила устройство, уже слишком поздно.

Появляются новые функции и улучшения

Поддельное приложение Commerzbank отправляет массовые SMS-сообщения в список контактов жертвы, создает оверлеи в других приложениях, возвращает экран устройства обратно системе актера, скрывает его значок и крадет одноразовые пароли (одноразовые пароли), а также PIN-код блокировки экрана.

Примечательной новой функцией является включение TeamViewer, основанного на злоупотреблении службой доступности, что не было задокументировано в предыдущих вариантах Hydra.

Новые улучшения, призванные усложнить обнаружение трояна, включают использование зашифрованных сообщений TOR, включение SOCKS Proxy для перенаправления и отключение Play Protect, компонента безопасности Android по умолчанию.

Большой пул целей

Commerzbank обслуживает 13 миллионов клиентов в Германии и еще 5 миллионов человек в Центральной и Восточной Европе. Это составляет в общей сложности 18 миллионов потенциальных целей, что всегда является критическим фактором для распространителей вредоносных программ.

Как правило, злоумышленники используют SMS, социальные сети и сообщения на форумах, чтобы заманить своих потенциальных жертв на вредоносные целевые страницы, которые сбрасывают APK на немецкие смартфоны.

Если вы думаете, что, возможно, уже попали в ловушку Гидры, рекомендуется очистить устройство с помощью инструмента безопасности от известного поставщика и даже после этого выполнить сброс настроек до заводских.

Как правило, вам следует устанавливать APK-файлы только из надежных источников (веб-сайт банка или Google Play), активировать двухфакторную аутентификацию в своей учетной записи онлайн-банкинга и поддерживать ОС и AV на вашем устройстве в актуальном состоянии.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here