TrickMo: Android Banking Malware που επιτίθεται σε χρήστες για κλοπή credentials σύνδεσης

Το Android banking malware είναι ένας τύπος κακόβουλου λογισμικού που στοχεύει χρηματοπιστωτικά ιδρύματα και τους πελάτες τους.

Υπάρχει μια αύξηση στο Android banking malware, το οποίο εκμεταλλεύεται ευπάθειες στο λειτουργικό σύστημα Android για να κλέψει ευαίσθητες πληροφορίες χρήστη.

Η ομάδα του Cleafy’s Threat Intelligence ανακάλυψε πρόσφατα ένα νέο Android banking malware με την ονομασία “TrickMo”, το οποίο βρέθηκε ότι επιτίθεται ενεργά στους χρήστες για να κλέψει τα credentials σύνδεσης.

Android Banking Malware TrickMo

Διαβάστε περισσότερα: SpyAgent: Νέο Android malware κλέβει τα recovery phrases των crypto wallets

Το DOJ κατηγορεί Κινέζο για spear phishing κατά της NASA. Το Υπουργείο Δικαιοσύνης κατήγγειλε έναν Κινέζο υπήκοο για spear phishing σε διάφορες αεροπορικές υπηρεσίες της κυβέρνησης των ΗΠΑ, προκειμένου να κλέψει λογισμικό και κώδικα που δημιουργήθηκαν από την Εθνική Υπηρεσία Αεροναυτικής και Διαστήματος (NASA) και άλλους.

00:00 Εισαγωγή
00:21 Ο Song Wu αντιμετωπίζει φυλάκιση
00:45 Εκστρατεία spear phishing
01:26 Σημαντικό λογισμικό

Μάθετε περισσότερα: https://www.secnews.gr/619482/doj-katigorei-kinezo-spear-phishing-kata-nasa/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnR2TDlfd0ZZcHJR

Το DOJ κατηγορεί Κινέζο για spear phishing κατά της NASA

SecNewsTV 4 hours ago

#secnews #jameswebb #blackhole #galaxy

Το διαστημικό τηλεσκόπιο James Webb (JWST) της NASA εντόπισε μια τεράστια μαύρη τρύπα που "σκοτώνει" τον γαλαξία που την φιλοξενεί.

Η γιγαντιαία μαύρη τρύπα, που μελέτησε το James Webb, βρίσκεται σχεδόν 12 δισεκατομμύρια έτη φωτός μακριά από τη Γη, στο κέντρο του GS-10578, γνωστού και ως «Pablo's Galaxy». Σύμφωνα με τους αστρονόμους, αυτή η τρύπα είναι 200 δισεκατομμύριο φορές μεγαλύτερη από τον Ήλιο σε μάζα.

Μάθετε περισσότερα: https://www.secnews.gr/619440/james-webb-terastia-mauri-tripa-skotonei-galaxia/

00:00 Εισαγωγή
00:17 Νεκρός γαλαξίας
00:46 James Webb - μαύρη τρύπα
02:03 Σημασία ευρήματος

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lm5YUGlXdndweXhv

James Webb Telescope: Μαύρη τρύπα "σκοτώνει" το γαλαξία της

SecNewsTV 8 hours ago

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη. Ένα φεγγάρι που εξαφανίστηκε θα μπορούσε να εξηγήσει γιατί ο Άρης είναι τόσο διαφορετικός από τους άλλους βραχώδεις πλανήτες του ηλιακού μας συστήματος. Σήμερα, ο Άρης έχει δύο μικροσκοπικά φεγγάρια. Αλλά νωρίς στην ιστορία του, ο Κόκκινος Πλανήτης μπορεί να είχε ένα πολύ μεγαλύτερο φεγγάρι, το οποίο μπορεί να ευθύνεται για το περίεργο σχήμα και το ακραίο έδαφός του, προτείνει ο Michael Efroimsky, αστρονόμος στο Ναυτικό Παρατηρητήριο των ΗΠΑ στην Ουάσιγκτον.

00:00 Εισαγωγή
00:19 Μεγαλύτερο φεγγάρι
01:09 Πώς άλλαξε το σχήμα του Άρη
01:35 Πώς εξαφανίστηκε ο Nerio
01:52 Απλώς μια υπόθεση

Μάθετε περισσότερα: https://www.secnews.gr/619125/ena-feggari-pou-eksafanistike-diamorfose-planiti-ari/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Li1JaXRiYVF3ZzFV

Ένα φεγγάρι που εξαφανίστηκε ίσως διαμόρφωσε τον Άρη

SecNewsTV 16 Σεπτεμβρίου 2024, 22:01 22:01

Load More... Subscribe

Το TrickMo αποτελεί μια νέα παραλλαγή Android banking malware, προερχόμενο από τον προκάτοχό του, το TrickBot. Αντί για τους παραδοσιακούς κωδικοποιητές, αξιοποιεί προηγμένες anti-analysis τεχνικές, όπως σπασμένα αρχεία zip, jsonpacker και dropper εφαρμογές, προκειμένου να αποφύγει τον εντοπισμό του.

Η διανομή αυτού του κακόβουλου λογισμικού πραγματοποιείται μέσω ενός dropper που μεταμφιέζεται σε “Google Chrome” και εκμεταλλεύεται τις Υπηρεσίες Προσβασιμότητας Android για την έγκριση των διαχειριστικών ελέγχων. Μετά την εγκατάσταση, το TrickMo έχει τη δυνατότητα να καταγράφει κωδικούς πρόσβασης μίας χρήσης για διαδικτυακές τραπεζικές υπηρεσίες, να καταγράφει τις οθόνες, να καταγράφει πατήματα πλήκτρων και να εκμεταλλεύεται την απομακρυσμένη πρόσβαση στις μολυσμένες συσκευές.

Εμπλέκεται στην ανταλλαγή δεδομένων με τον C2 server χρησιμοποιώντας τη μέθοδο ανάρτησης και στέλνοντας πληροφορίες συσκευής ως JSON στο τελικό σημείο /c και λαμβάνει εντολές, σύμφωνα με το report της Cleanfly.

Το TrickMo χρησιμοποιεί μια διαμόρφωση Clicker (clicker.json) για την αυτοματοποίηση ενεργειών μέσω της Υπηρεσίας Προσβασιμότητας, στοχεύοντας τόσο εφαρμογές συστήματος όσο και βοηθητικές εφαρμογές.

Το malware έχει δυνατότητες όπως υποκλοπή SMS, ανάκτηση φωτογραφιών, εγγραφή οθόνης, απομακρυσμένη πρόσβαση και HTML overlay επιθέσεις για την κλοπή credentials. Το κακόβουλο λογισμικό έχει τη δυνατότητα να αλλάξει την προεπιλεγμένη εφαρμογή SMS, να ανακτήσει λίστες με εγκατεστημένες εφαρμογές και να εκτελεί κλικ και διάφορες ενέργειες στη συσκευή.

Ο C2 server του TrickMo διατηρεί δεδομένα, όπως αρχεία καταγραφής, credentials και φωτογραφίες, αλλά στερείται οποιασδήποτε μορφής ελέγχου ταυτότητας, εκθέτοντας τα θύματα σε πολλαπλούς παράγοντες απειλής.

Το TrickMo ανακαλύφθηκε και αναφέρθηκε για πρώτη φορά από το CERT-Bund το 2019, στοχεύοντας κυρίως σε τραπεζικές εφαρμογές στην Ευρώπη, με έμφαση στη γερμανική γλώσσα, όπως υποδεικνύεται από τις συγκεκριμένες ρυθμίσεις γλώσσας στο αρχείο Clicker.json.

Δείτε επίσης: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα

Η ανάλυση του ονόματος πακέτου του προγράμματος εγκατάστασης του Cloud Strife (dreammes.ross431.in) και της διαδικασίας αποσυσκευασίας του (com.turkey.inner.Uactortrust) αποκαλύπτει τις εξαιρετικά προηγμένες μεθόδους που χρησιμοποιούνται για την απόκρυψη και την προστασία του κακόβουλου λογισμικού.

Η παραβίαση συνέβη λόγω της εσφαλμένης ρύθμισης του server Command and Control (C2), η οποία οδήγησε στη διαρροή 12 GB δεδομένων του θύματος.

Ορισμένα κρίσιμα τελικά σημεία (endpoints) του C2 server αποκάλυψαν τις διευθύνσεις IP των παραβιασμένων συσκευών, τα αρχεία καταγραφής λειτουργιών, και τα έγγραφα HTML που χρησιμοποιούνται για επιθέσεις σε τραπεζικές και πλατφόρμες κρυπτονομισμάτων.

Επιπλέον, περιλάμβαναν αρχεία CSV με κλεμμένα ονόματα χρήστη και κωδικούς πρόσβασης, καθώς και αρχεία ZIP που περιείχαν εικόνες από παραβιασμένες συσκευές.

Αυτή η διαρροή αποκαλύπτει όχι μόνο ένα σφάλμα τακτικής από τους δημιουργούς της υποδομής του TrickMo, αλλά αυξάνει και την πιθανότητα περαιτέρω εκμετάλλευσης των δεδομένων που διέρρευσαν.

Διαβάστε ακόμη: Σιγκαπούρη: Δύο άνδρες κατηγορούνται για διανομή Android malware

Οι φορείς απειλών μπορούν να αξιοποιήσουν αυτές τις πληροφορίες για να συνδεθούν στους λογαριασμούς χρηστών, να διαπράξουν κλοπή ταυτότητας και να εκτελέσουν στοχευμένες επιθέσεις phishing. Οι δημοσιευμένες πληροφορίες περιλαμβάνουν τόσο την επιφάνεια επίθεσης όσο και πιθανούς φυσικούς στόχους, υποδεικνύοντας την ανάγκη για την υιοθέτηση ολοκληρωμένων μέτρων ασφαλείας.

Είναι επιτακτική, λοιπόν, η βελτίωση των συστημάτων ασφαλείας δεδομένων για την αποτροπή τέτοιων περιστατικών στο μέλλον.

Πηγή: cybersecuritynews