Απατεώνας τραπεζικών στοιχείων: Προσοχή στην απάτη των στοιχείων σύνδεσης και της πιστωτικής κάρτας

Pic: zimperium

Το 2020, ξεκίνησε το Cerberus Banking Trojan, που μπορούσε να καταγράψει το PIN ή το μοτίβο ολίσθησης ενός χρήστη και πολλά άλλα. Τώρα, μια ανανεωμένη έκδοση του Cerberus χρησιμοποιείται σε μια καμπάνια που εντοπίστηκε από τα Cyble Research and Intelligence Labs (CRIL) τον Σεπτέμβριο. Χρησιμοποιώντας droppers που βασίζονται σε περιόδους σύνδεσης, εγγενείς βιβλιοθήκες και κρυπτογραφημένα ωφέλιμα φορτία, το Ceberus Banking Trojan αν και είναι αρκετά δύσκολο να βρεθεί σε ένα μολυσμένο τηλέφωνο, είναι δύσκολο να αφαιρεθεί. Το Trojan:

1. καταγράφει πληκτρολογήσεις που γίνονται από έναν χρήστη της συσκευής προκειμένου να καταγράψει τους κωδικούς πρόσβασης.
2. Χρησιμοποιεί επίσης επιθέσεις επικάλυψης που ξεγελούν τους χρήστες ώστε να πιστεύουν ότι επικοινωνούν με μια νόμιμη εφαρμογή μόνο για να αλληλεπιδράσουν με μια κακόβουλη επικάλυψη.
3. Οι εισβολείς ελπίζουν ότι ο χρήστης πληκτρολογεί τα διαπιστευτήρια σύνδεσης ή, ακόμα καλύτερα, έναν αριθμό πιστωτικής κάρτας, την ημερομηνία λήξης της κάρτας και τον κωδικό ασφαλείας.
4. Το Trojan χρησιμοποιεί επίσης VNC (Virtual Network Computing), μια τεχνολογία απομακρυσμένης κοινής χρήσης οθόνης που χρησιμοποιήσει κακόβουλο λογισμικό για να τραβήξει στιγμιότυπα οθόνης και να τα στείλει σε έναν απομακρυσμένο διακομιστή.

Γράφημα επίθεσης επικάλυψης. | Image credit-Λογισμικό ασφαλείας IKARUS

Η Cyble Research λέει ότι το Cerberus Banking Trojan είναι ένα καλό παράδειγμα του τρόπου με τον οποίο το κακόβουλο λογισμικό μπορεί να επαναπροσδιοριστεί και μπορεί να συνεχίσει να αποτελεί επικίνδυνη απειλή χρόνια μετά την αρχική του εμφάνιση. Η ερευνητική εταιρεία λέει ότι οι επιθέσεις συνεχίζονται.

Οι εισβολείς αναζητούν τους χρήστες που κάνουν λάθος, καθώς το κακόβουλο λογισμικό μεταμφιέζεται σε νόμιμες εφαρμογές τραπεζικών συναλλαγών ή ελέγχου ταυτότητας και χρησιμοποιεί εικονίδια Google Play και Chrome. Όταν εμφανίστηκε για πρώτη φορά στη σκηνή το 2019, το Trojan χρησιμοποιήθηκε για να βοηθήσει στη διάπραξη οικονομικής απάτης. Η τρέχουσα έκδοση του κακόβουλου λογισμικού:

• Μπορεί επιπλέον να παρακάμψει περιορισμένες ρυθμίσεις.
• Επίσης μπορεί να προσποιηθεί ότι είναι ο χρήστης μιας συσκευής και να κάνει κλικ στις επιλογές ενώ παράλληλα εκτελεί χειρονομίες για την εισαγωγή δεδομένων.
• Το κακόβουλο λογισμικό μπορεί ακόμη και να απεγκατασταθεί από μόνο του, ώστε να εξαφανιστεί από ένα τηλέφωνο που είχε μολύνει μόλις τελειώσουν οι εισβολείς με αυτό.

Οι ερευνητές της Cyble προτείνουν ότι για να αποφευχθεί η εγκατάσταση κακόβουλου λογισμικού, οι χρήστες πραγματοποιούν λήψη μόνο επίσημων εφαρμογών από επίσημες πηγές. Η ερευνητική εταιρεία συνιστά επίσης να βεβαιωθείτε ότι το Google Play Protect είναι ενεργοποιημένο στο τηλέφωνό σας Android . Ποτέ μην κάνετε κλικ σε ύποπτους συνδέσμους που αποστέλλονται στο τηλέφωνό σας μέσω κειμένου ή email.