Експерти виявили новий банківський троян Janeleiro, який активний щонайменше з 2019 року. Зловмисники намагаються обманути своїх жертв за допомогою спливаючих вікон, які виглядають як веб-сайти деяких банків. Після цього шкідлива програма обманом змушує користувачів ввести свої банківські реквізити та особисту інформацію.
Загроза здатна керувати екранними вікнами, збирати інформацію про них, закривати chrome.exe (Google Chrome), робити знімки екрану, а також отримати контроль над клавіатурою та мишею жертви. Крім цього, новий банківський троян може змінювати адреси гаманців з біткоїнами жертв на адреси кіберзлочинців у режимі реального часу, перехопивши управління над буфером обміну.
Варто зазначити, що цілями зловмисників є корпоративні користувачі у галузях машинобудування, охорони здоров’я, роздрібної торгівлі, виробництва, фінансів, транспорту, а також державні установи Бразилії.
Більшість команд Janeleiro дозволяють отримати контроль над вікнами, мишею та клавіатурою, а також їх фальшивими спливаючими вікнами. “Атаки з використанням Janeleiro вирізняються не можливостями автоматизації, а практичністю підходу: у багатьох випадках оператор повинен налаштовувати спливаючі вікна за допомогою команд, які виконуються в режимі реального часу”, — коментує Факундо Муньос, дослідник ESET.
“Банківський троян розроблявся ще в 2018 році, а в 2020 році для покращення контролю під час атаки було удосконалено обробку команд шкідливою програмою, — додає дослідник . — Покращення свідчать про спроби зловмисників знайти правильний спосіб управління своїми інструментами, хоча при цьому унікальність їхньої схеми інфікування не поступається багатьом сімействам шкідливих програм”.
Цікавим також є використання зловмисниками веб-сайту GitHub для зберігання своїх модулів, адміністрування сторінки організації та завантаження нових сховищ кожного дня зі списками своїх командних серверів (C&C), які необхідні троянам для підключення до своїх операторів.
Після виявлення на пристрої жертви одного з ключових слів, пов’язаних з банківською сферою, шкідлива програма негайно отримує адреси командних серверів з GitHub та підключається до них. Ці фальшиві спливаючі вікна динамічно створюються за запитом та управляються зловмисниками за допомогою команд.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.