Razni evropski klijenti različitih banaka su na meti Android bankovnog trojanca pod nazivom SpyNote kao dio agresivne kampanje otkrivene u junu i julu 2023. godine.
“Špijunski softver se distribuira putem phishing kampanja e-pošte ili lažnih kampanja, a lažne aktivnosti se izvode kombinacijom mogućnosti trojanaca za daljinski pristup (RAT) i vishing napada”, rekla je italijanska kompanija za kibernetičku sigurnost Cleafy u tehničkoj analizi objavljenoj u ponedjeljak.
SpyNote, takođe nazvan SpyMax, sličan je drugim Android bankovnim trojancima po tome što zahtijeva Androidove dozvole pristupačnosti kako bi sebi dodijelio druge potrebne dozvole i prikupio osjetljive podatke sa zaraženih uređaja. Ono po čemu je vrsta malicioznog softvera značajna je njegova dvostruka funkcija špijunskog softvera i obavljanja bankovnih prevara.
Lanci napada počinju lažnom SMS porukom koja poziva korisnike da instaliraju bankovnu aplikaciju klikom na prateću vezu, preusmjeravajući žrtvu na legitimnu aplikaciju TeamViewer QuickSupport dostupnu na Google Play Store-u.
“TeamViewer je usvojilo nekoliko hakera za izvođenje operacija prevare putem napada socijalnog inženjeringa”, rekao je istraživač sigurnosti Francesco Iubatti. „Konkretno, haker poziva žrtvu, lažno predstavlja bankarske operatere i izvodi lažne transakcije direktno na uređaju žrtve.”
Ideja je da se TeamViewer koristi kao kanal za daljinski pristup žrtvinom telefonu i prikriveno instaliranje malicioznog softvera. Različite vrste informacija koje prikuplja SpyNote uključuju geolokacijske podatke, pritiske tipki, snimke ekrana i SMS poruke kako bi se zaobišla dvofaktorska autentikacija zasnovana na SMS-u (2FA).
Otkrivanje dolazi pošto je operacija hakiranja za iznajmljivanje poznata kao Bahamut povezana s novom kampanjom koja cilja pojedince u regijama Bliskog istoka i Južne Azije s ciljem instaliranja lažne aplikacije za ćaskanje pod nazivom SafeChat koja skriva maliciozni softver za Android pod nazivom CoverIm.
Isporučena žrtvama putem WhatsApp-a, aplikacija sadrži identične funkcije kao i SpyNote, tražeći dozvole pristupa i druge za prikupljanje evidencije poziva, kontakata, datoteka, lokacije, SMS poruka, kao i za instaliranje dodatnih aplikacija i krađu podataka sa Facebook Messengera, imo , Signal, Telegram, Viber i WhatsApp.
Cyfirma, koja je otkrila najnoviju aktivnost, rekla je da se taktika koju koristi ovaj haker preklapa s drugim hakerom iz nacionalne države poznatim kao DoNot Team, koji je nedavno primijećen kako koristi lažne Android aplikacije objavljene u Play Store-u kako bi zarazio pojedince koji se nalaze u Pakistanu.
Iako su tačne specifičnosti aspekta socijalnog inženjeringa napada nejasne, poznato je da se Bahamut oslanja na fiktivne osobe na Facebooku i Instagramu, pretvarajući se da su regruti za tehnologiju u velikim tehnološkim kompanijama, novinarima, studentima i aktivistima kako bi prevarili nesvjesne korisnike da preuzmu malvera na njihovim uređajima.
“Bahamut je koristio niz taktika za hostovanje i distribuciju malicioznog softvera, uključujući pokretanje mreže malicioznih domena koji navodno nude siguran chat, dijeljenje datoteka, usluge povezivanja ili aplikacije za vijesti”, otkrio je Meta u maju 2023. godine. “Neki od njih su lažirali domene regionalnih medijskih kuća, političkih organizacija ili legitimnih prodavnica aplikacija, koje će vjerovatno učiniti da njihove veze izgledaju legitimnije.”
Izvor: The Hacker News
