Το banking trojan Hydra επιστρέφει στη στόχευση χρηστών ευρωπαϊκής πλατφόρμας e-banking, και πιο συγκεκριμένα, των πελατών της Commerzbank, του δεύτερου μεγαλύτερου χρηματοπιστωτικού ιδρύματος της Γερμανίας.
Δείτε επίσης: Η εταιρεία JVCKenwood δέχτηκε επίθεση από το Conti ransomware
Το MalwareHunterTeam εντόπισε το δίχρονο malware σε μια νέα καμπάνια διανομής που στοχεύει Γερμανούς χρήστες με ένα κακόβουλο APK που ονομάζεται «Commerzbank Security» και χρησιμοποιεί το ίδιο εικονίδιο με την επίσημη εφαρμογή.
Αυτό προκάλεσε το ενδιαφέρον των ερευνητών της Cyble, οι οποίοι έλαβαν δείγμα από το αρχείο για μια πιο σε βάθος ανάλυση, η οποία αποκάλυψε ένα ισχυρό εργαλείο ηλεκτρονικού ψαρέματος (phishing) με εκτεταμένη πρόσβαση σε δικαιώματα.
Πολλά δικαιώματα
Η Cyble διαπίστωσε ότι η εφαρμογή Hydra απαιτεί 21 δικαιώματα, κυρίως τα “BIND-ACCESSIBILITY_PERMISSION” και “BIND_DEVICE_ADMIN”, δύο εξαιρετικά επικίνδυνα δικαιώματα. Το πρώτο διασφαλίζει ότι η εφαρμογή εκτελείται πάντα στο παρασκήνιο, παρακολουθεί και υποκλέπτει όλα τα δεδομένα που έρχονται και πηγαίνουν από και προς τη συσκευή. Το δεύτερο δίνει πρακτικά δικαιώματα διαχειριστή trojan στη συσκευή, έτσι ανοίγει ένα ευρύ φάσμα δυνατοτήτων exploitation.
Άλλα επικίνδυνα δικαιώματα που χρησιμοποιούνται από το trojan είναι τα παρακάτω:
Μπορεί να γίνει κατάχρηση αυτών των δικαιωμάτων για πρόσβαση σε περιεχόμενο SMS, αποστολή SMS, εμφάνιση ειδοποιήσεων συστήματος, τροποποίηση ρυθμίσεων συσκευής, πραγματοποίηση κλήσεων, εγγραφή και ανάγνωση εξωτερικού χώρου αποθήκευσης, τροποποίηση ρυθμίσεων WiFi, εγκατάσταση πρόσθετων εφαρμογών και άλλα.
Καμία από αυτές τις δραστηριότητες δεν απαιτεί αλληλεπίδραση από τον χρήστη-θύμα, οπότε μόλις το malware μολύνει την συσκευή είναι ήδη πολύ αργά.
Δείτε επίσης: Επιθέσεις ransomware σε νοσοκομεία: Το προσωπικό μιλάει για τις συνέπειες
Εμφανίζονται νέες δυνατότητες και βελτιώσεις
Η ψεύτικη εφαρμογή Commerzbank στέλνει μαζικά SMS στη λίστα επαφών του θύματος, δημιουργεί επικαλύψεις σε άλλες εφαρμογές, προβάλλει οθόνη της συσκευής στο σύστημα του ηθοποιού, κρύβει το εικονίδιο της και κλέβει OTP (κωδικούς μίας χρήσης) καθώς και το PIN κλειδώματος οθόνης.
Ένα αξιοσημείωτο νέο χαρακτηριστικό είναι η ενσωμάτωση του TeamViewer που βασίζεται στην κατάχρηση της υπηρεσίας Accessibility, η οποία δεν έχει τεκμηριωθεί σε προηγούμενες παραλλαγές του Hydra.
Νέες βελτιώσεις που αποσκοπούν στη δυσκολότερη ανίχνευση του trojan περιλαμβάνουν τη χρήση κρυπτογραφημένων επικοινωνιών TOR, ενεργοποίηση του SOCKS Proxy για ανακατεύθυνση και απενεργοποίηση του Play Protect, του προεπιλεγμένου component ασφαλείας του Android.
Η Commerzbank εξυπηρετεί 13 εκατομμύρια πελάτες στη Γερμανία και άλλα 5 εκατομμύρια άτομα στην Κεντρική και Ανατολική Ευρώπη. Αυτό αντιπροσωπεύει συνολικά 18 εκατομμύρια πιθανούς στόχους, κάτι που αποτελεί πάντα κρίσιμο ζήτημα για τους διανομείς κακόβουλου λογισμικού.
Συνήθως, οι απειλητικοί φορείς χρησιμοποιούν SMS, μέσα κοινωνικής δικτύωσης και δημοσιεύσεις σε φόρουμ για να παρασύρουν τα υποψήφια θύματά τους σε κακόβουλες σελίδες που “ρίχνουν” το APK στα γερμανικά smartphone.
Εάν πιστεύετε ότι μπορεί να έχετε πέσει ήδη στην παγίδα του Hydra, συνιστάται να καθαρίσετε τη συσκευή σας με ένα εργαλείο ασφαλείας από έναν αξιόπιστο προμηθευτή και ακόμη και να πραγματοποιήσετε επαναφορά εργοστασιακών ρυθμίσεων στη συνέχεια.
Σε γενικές γραμμές, πρέπει να εγκαθιστάτε APK μόνο από αξιόπιστες πηγές, να ενεργοποιείτε το 2FA στον τραπεζικό σας λογαριασμό στο διαδίκτυο και να διατηρείτε ενημερωμένο το λειτουργικό σύστημα της συσκευής σας.
Πηγή πληροφοριών: bleepingcomputer.com
