A legújabb Androidos trójai a banki adatainkra utazik
2019 / 11 / 25 / justin.viktor
A legújabb Androidos trójai a banki adatainkra utazik
justin.viktor
A Ginp-trójai egy Advanced Android Threat, ami egy nagyságrenddel rosszabb, mintha csak “sima” vírus lenne, az ártó kód rosszindulatú mobilalkalmazásokon keresztül terjed és a pénzünkre (is) utazik.

A Ginp-trójait egy biztonsági kutató azonosította a kártevő legutóbbi támadási kampányainak egyikében. A támadási kampányban felhasznált kód valószínűleg 2019. október végi,  azonban a fenyegetés első néhány esetét júniusban fedezték fel. Ezek az adatok azt mutatják, hogy a hackerek aktívan fejlesztik a kódot, az első kiadás óta öt nagyobb frissítés történhetett.

Az elsődleges terjesztési csatornák a Google Playen és más alkalmazás-boltokban tárolt rosszindulatú alkalmazások. Amint ezek valamelyike telepítésre kerül egy adott eszközre, elindul egy banki malware “motor”, amely összegyűjti a fellelhető pénzügyi adatokat és felhasználható más egyéb bűncselekményekre is.

Az eddig talán legveszélyesebb banki malware

Az Android Malware az egyik legelterjedtebb fenyegetés, amellyel a végfelhasználók ma szembesülnek, mivel egyre több hackerbanda képzi át magát a mobil operációs rendszerekre történő vírusfejlesztésre. Az új kártevő alapja a jól ismert Anubis rosszindulatú szoftvercsalád. Ennek a trójainak az első verzióit a Google Play Áruházba és más applikációboltokba töltötték fel, Google Play Verificator néven azzal a céllal, hogy telepítésre csábítsák a látogatókat. A taktika szerint a veszélyes alkalmazásokat hasznos rendszerkarbantartó  segédprogramoknak álcázzák.

Első felbukkanása során a Ginp-trójai még nem rendelkezett sokkal azzal a gazdag funkcionalitás skálával, melyről ma ismert. Indításkor összegyűjtötte a tárolt SMS üzeneteket és elküldte egy meghatározott, a hackerek által vezérelt szerverre. Csak néhány hónappal az első verzió után tűnt fel a bűnözők által jelentősen frissített mai Ginp kiadás.

Stresszoldásnak az első fontos üzenet

Ha nem tudjuk bizonyosan, hogy mi az, hogy ártalmatlan, hogy veszélytelen, ne telepítsük a mobilra semmilyen alkalmazásboltból! Sok mindent lehet ellenőrizni és ne feledjük: lusta telepítőnek hacker a bankára, és ő mindent visz!

A Ginp legújabb verziója

Az új verzió hordozója egy  “Adobe Flash Playernek” elkeresztelt applikáció és mind a Google Playen, mind más app-boltokban fellelhető. Ha a bűnözők egy eddigieknél is jelentősebb terjesztési kampányt szándékoznak indítani, akkor várhatóan más helyeken is felhasználják majd a vírusfájlokat (archívumokban vagy APK formában):

  • Dokumentumok - A fertőzött makrókkal ellátott dokumentumok felhasználhatók vírusfájl eljuttatására a megcélzott mobil eszközökre. Amikor az áldozatok megnyitják őket, a rendszer azonnal kérelmet küld, hogy engedélyezzék a makrók működését a tartalom helyes megjelenítése érdekében. A makrók speciális szkriptek, amelyek a víruskódot kibontják és futtatják anélkül, hogy a felhasználó ezt észrevenné.
  • Egyéb APK-csomagok - A hackerek különféle egyéb veszélyes alkalmazáscsomagokat (bundle) hozhatnak létre, ilyenkor általában a legnépszerűbb alkalmazásokat célozzák meg, mivel azok identitása könnyen meghamisítható.
  • Harmadik féltől származó rosszindulatú programok - A Ginp-trójai fájljait a hackerek saját webhelyeiken tárolhatják, és a rájuk mutató webes linkeket hamis vagy feltört közösségi média profilokhoz adhatják hozzá. Az interaktív kódot általában a weboldalakon helyezik el, melyek folyamatosan ösztönzik a látogatókat (szalagcímek, előugró ablakok és átirányítások) a fájlok letöltésére vagy futtatására.

Mivel a Ginp banki trójai, a jövőben adathalászat típusú támadás módszerének alkalmazása is várható az eszközzel.

Ijedezés helyett jöhet a második fontos üzenet

Ha nem várt csatolmány van a nem várt levélben, akkor bárki küldte, ne kattintsunk rá, ne nyissuk meg! Vírust gyakran küld a gyerek, a jó barát, a rendszergazda és a munkatárs is - inkább érdeklődjünk a küldőnél üzenetben vagy levélben!

Mi történik, ha aktiváltuk a Ginp-trójait?

Ha a rosszindulatú kódot egy adott gépen aktiválták, az alkalmazás eltávolítja annak ikonját az indítóból, ami lehetetlenné teszi a szokásos módon történő hozzáférést. A következő lépésben az áldozat felszólítást kap arra, hogy engedélyezze az akadálymentesség-szolgáltatást. Ez szokásos és ártatlan megjelenésű kérelemnek tűnik, azonban ez teszi lehetővé teszi a kártevőszoftver motorja számára, hogy még veszélyesebb műveleteket hajtson végre. A legújabb verziókban található teljes funkcionalitás a következő:

  • SMS küldése egy megadott számra
  • A hackerek által vezérelt kiszolgáló URL-jének frissítése
  • A vírus letiltása
  • A frissítési intervallum frissítése
  • Az átfedésben lévő alkalmazások listájának ürítése
  • Céllista frissítése
  • Készülék adminisztrációs jogosultsági kérelme
  • A felhasználó letiltása az engedélykérések kezeléséről
  • Malware beállítása alapértelmezett SMS alkalmazásként
  • A rosszindulatú programok eltávolítása az alapértelmezett SMS alkalmazásból
  • Az Overlay támadások engedélyezése és letiltása
  • A Google Play Overlay engedélyezése és tiltása
  • Hibakeresési mód indítása és letiltása
  • Naplófájlok letöltése
  • Az összes telepített alkalmazás és névjegy listázása
  • Több telefonszámra küldhető SMS és üzenetek letöltése
  • Csomag frissítés
  • Új overlay kiegészítés
  • Hívásátirányítás
  • Engedélyek kérésének indítása
  • TEXT_HERE

Más banki trójai kártevőkhöz hasonlóan a vírus automatikusan megvizsgálja a fertőzött Android készüléket, gyakran használt közösségi hálózati alkalmazásokat, vagy mobil banki szolgáltatásokat keresve. A vírus átlátszó réteget hoz létre a futó alkalmazás ablaka felett, amely azt jelenti, hogy a felhasználói interakciókat a hackerek irányítják és ellenőrzik. Egy speciális hálózati kapcsolat használatával az összes adat valós időben továbbításra kerül a bűnözők számára. A Ginp-trójai, mint kifinomult Android-fenyegetés, a szolgáltatások széles skálájának befolyásolását adja a bűnözői csoportok kezébe (lásd a fenti lista).

A cél a személyes adatok és a fizetéshez használt  kártya-adatok felhasználó általi bevitelének megfigyelése, ellenőrzése. A Ginp kódjában a következő alkalmazások megfigyelését észlelték:

  • Facebook
  • WhatsApp
  • Skype
  • Twitter
  • Chrome
  • Instagram
  • Snapchat
  • Viber

A támadott mobil banki alkalmazások listája a következő:

Play Store, CaixaBank Pay: Mobile Payments , CaixaBank, CaixaBank Sign – Digital Coordinate Card, CaixaBank Tablet, imaginBank – Your mobile bank, Family, Bankinter Móvil, Bankinter Wallet, COINC Wallet, bankintercard, Bankia, Bankia Wallet, Bankia Tablet, BBVA Spain, BBVA Net Cash | ES & PT, EVO Banco móvil, EVO Bizum, Kutxabank, KutxabankPay, Santander, Santander Tablet, Confirming Santander and Santander Cash Nexus.

A Ginp által használt láthatatlan (átlátszó) réteg olyan hitelkártya-felületet mutathat, amely bizonyos helyzetekben jogszerűnek és biztonságosnak tekinthető. A kártevő információgyűjtő motorja ráadásul frissíthető a támadható népszerű banki alkalmazások listájának bővítéséhez. Úgy tűnik, hogy az eddig rögzített minták között szerepel a spanyol pénzügyi intézmények által működtetett megoldások funkcionális támogatása, de ez bármikor bővülhet, bármely ország vagy bank specifikus adataival. A támadások folyamatos kibontakozásával (a megkárosított áldozatok számának emelkedésével) arra számíthatunk, hogy egyre részletesebb információ válik elérhetővé a hackerek személyazonosságáról, valamint a főbb célokról.

Végül az utolsó, a harmadik megjegyzendő üzenet

Ha már kattintottunk, vagy telepítettünk valamit amit nem kellett volna, azonnal keressünk szakembert aki leirthatja a kártevőt a készülékről, akkor is, ha nem tapasztalunk semmi furcsát! Ott van az, csak várja a banki műveleteket. A homokba dugott fejű strucc politikájához a hiéna is csak annyit tett hozzá: így még finomabb, úgyis rágós a csőre!

(Forrás: Sensorstechforum Képek: Unsplash, Pexels)


Új weboldalt készítenél, és saját domain névre is szükséged van?
Próbáld ki az előtelepített WordPresst tartalmazó WP Ready csomagot, ahol csak pár kattintás kell ahhoz, hogy elkezdhesd építeni álmaid weblapját.
Kövesd a Rakétát a Facebookon is!
Kövess, üzenj, kommentelj a Rakéta Facebook oldalán!
Ezek is érdekelhetnek