trojan mobile banking

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

December 21, 2022 by Coffee Bean

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

May 30, 2022 by Eevee

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber:

Malware perbankan Android menyadap panggilan ke dukungan pelanggan

April 12, 2022 by Eevee

Trojan perbankan untuk Android yang oleh para peneliti disebut Fakecalls hadir dengan kemampuan canggih yang memungkinkannya mengambil alih panggilan ke nomor dukungan pelanggan bank dan menghubungkan korban secara langsung dengan penjahat dunia maya yang mengoperasikan malware.

Menyamar sebagai aplikasi seluler dari bank populer, Fakecalls menampilkan semua tanda entitas yang ditirunya, termasuk logo resmi dan nomor dukungan pelanggan.

Ketika korban mencoba menelepon bank, malware memutuskan koneksi dan menunjukkan layar panggilannya, yang hampir tidak bisa dibedakan dari yang asli.

Antarmuka panggilan malware mobile banking palsu (sumber: Kaspersky)

Trojan mobile banking palsu dapat melakukan ini karena pada saat instalasi meminta beberapa izin yang memberikan akses ke daftar kontak, mikrofon, kamera, geolokasi, dan penanganan panggilan.

Malware muncul tahun lalu dan terlihat menargetkan pengguna di Korea Selatan, pelanggan bank populer seperti KakaoBank atau Kookmin Bank (KB), peneliti keamanan di Kaspersky mencatat dalam sebuah laporan hari ini.

Kaspersky menganalisis malware tersebut dan menemukan bahwa malware tersebut juga dapat memutar pesan yang telah direkam sebelumnya yang meniru pesan yang biasanya digunakan oleh bank untuk menyambut pelanggan yang mencari dukungan:

Kode di Fakecalls untuk memutar audio yang telah direkam sebelumnya (sumber: Kaspersky)

Pengembang malware mencatat beberapa frasa yang biasa digunakan oleh bank untuk memberi tahu pelanggan bahwa operator akan menerima panggilan mereka segera setelah tersedia.

Di bawah ini adalah dua contoh audio yang telah direkam sebelumnya (dalam bahasa Korea) yang dimainkan oleh malware Fakecalls untuk membuat tipu muslihat lebih realistis:

Halo. Terima kasih telah menelepon KakaoBank. Pusat panggilan kami saat ini menerima panggilan dengan volume yang luar biasa besar. Seorang konsultan akan berbicara kepada Anda sesegera mungkin. Untuk meningkatkan kualitas layanan, percakapan Anda akan direkam.

Selamat datang di Kookmin Bank. Percakapan Anda akan direkam. Kami sekarang akan menghubungkan Anda dengan operator.

Peneliti Kaspersky mengatakan bahwa malware juga dapat memalsukan panggilan masuk, memungkinkan penjahat dunia maya untuk menghubungi korban seolah-olah mereka adalah layanan dukungan pelanggan bank.

Izin yang diminta malware saat penginstalan memungkinkan penjahat dunia maya untuk memata-matai korban dengan menyiarkan audio dan video secara real-time dari perangkat, melihat lokasinya, menyalin file (kontak, file seperti foto dan video), dan riwayat pesan teks.

Rekomendasi Kaspersky untuk menghindari menjadi korban malware semacam itu termasuk mengunduh aplikasi hanya dari toko resmi, dan memperhatikan izin yang berpotensi berbahaya yang diminta aplikasi (akses ke panggilan, SMS, aksesibilitas), terutama jika aplikasi tidak membutuhkannya.

Selain itu, para peneliti menyarankan pengguna untuk tidak membagikan informasi rahasia melalui telepon (kredensial login, PIN, kode keamanan kartu, kode konfirmasi).

Sumber : Bleeping Computer

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

February 9, 2022 by Eevee

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

trojan mobile banking

Cookies Settings