Дослідники виявили велику кількість ознак, які свідчать про співпрацю авторів шкідливого програмного забезпечення. Незважаючи на латиноамериканське походження троянів, з кінця минулого року цілями кіберзлочинців були також користувачі Іспанії та Португалії.

Зокрема протягом минулого року були зафіксовані такі банківські трояни — Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro та Mekotio.

“Ми проаналізували всі сімейства банківських троянів загалом. Замість того, щоб вивчати деталі кожного виду та підкреслювати їх унікальні можливості, ми зосередилися на спільних рисах шкідливих програм», — коментує дослідник ESET.

Першою спільною ознакою, виявленою дослідниками ESET, була ідентична реалізація функціоналу та методів атак за допомогою підроблених спливаючих вікон, які спонукали жертв надати конфіденційну інформацію. Крім того, ці сімейства шкідливих програм використовують сторонні бібліотеки, зазвичай невідомі алгоритми шифрування рядків, а також різні методи обфускації (заплутування).

Схожими також є техніки поширення шкідливого програмного забезпечення. Трояни зазвичай перевіряють наявність маркера, який вказує на інфікування пристрою, і завантажують дані у ZIP-архіви.

Різні сімейства банківських троянів застосовують схожі шаблони спаму у своїх останніх кампаніях. Оскільки подібність такої кількості ідей в окремих авторів шкідливого ПЗ малоймовірна, можна зробити висновок, що кілька груп кіберзлочинців співпрацюють між собою.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?

Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради

Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ

Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ

Чим Вам загрожує підключення невідомих USB? Поради із захисту

Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ

Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.

До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.

Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.

Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.

Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.

Ця стаття Кіберзлочинці об’єднали зусилля для атак на користувачів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Троян має типові для бекдора функції — створення скріншотів, перезапуск інфікованих пристроїв, обмеження доступу до легітимних банківських веб-сайтів, а іноді й викрадення облікових даних з Google Chrome та біткоїнів.

Mekotio працює з принаймні 2015 року та як і інші банківські трояни, має типові для цього типу шкідливого програмного забезпечення характеристики: написаний мовою програмування Delphi, використовує підроблені спливаючі вікна та має функціонал бекдора. Щоб банківський троян виглядав менш підозріло, розробники намагались видати його за оновлення безпеки за допомогою певного вікна з повідомленням.

Шкідливе програмне забезпечення Mekotio може отримати доступ до багатьох технічних подробиць про пристрої жертв, включно з інформацією про конфігурацію брандмауера, права адміністратора, версію ОС Windows, а також список встановлених антивірусних рішень та продуктів для протидії шахрайству. Одна з команд Mekotio навіть намагається зламати пристрій жертви шляхом видалення всіх файлів та папок із дерева C:Windows.

“Для дослідників найбільш помітною особливістю нових варіантів цього сімейства шкідливих програм є використання бази даних SQL як командного сервера (C&C). Крім цього, незвичним є те, що сімейство зловживає легітимним інтерпретатором AutoIt як основним методом виконання”, — пояснює Роберт Шуман, дослідник ESET.

Розповсюджується банківський троян переважно через спам. Починаючи з 2018 року, виявили 38 різних ланцюгів поширення, якими користується це сімейство шкідливих програм. Більшість ланцюгів складаються з декількох етапів та закінчуються завантаженням ZIP-архіву — така поведінка є типовою для латиноамериканських банківських троянів.

“Mekotio розвивається досить хаотично, його особливості дуже часто змінюються. На основі своїх внутрішних досліджень ми зробили висновок, що існує декілька варіантів загрози, які розробляються одночасно”, — додає Роберт Шуман.

Загроза націлена на іспано- та португаломовні країни Європи і Латинської Америки.

Більш детальна інформація про Mekotio доступна за посиланням.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як змінити пароль у Facebook? ІНСТРУКЦІЯ

Що робити, щоб унеможливити відслідковування Вашого телефону? Поради

“Додайте гучності!” Вісім способів покращити звук на Вашому смартфоні

Як захистити дані на смартфоні, якщо Ви його втратите? ІНСТРУКЦІЯ

Нагадаємо, через американські санкції компанія Huawei буде змушена повністю припинити виробництво смартфонів, побудованих на базі процесорів власного виробництва з лінійки HiSilicon Kirin. Пов’язано це з тим, що тайванський виробник чипсетів TSMC не зможе використовувати американське обладнання для виготовлення продукції цього бренду, так як влада США заборонила це робити з 16 вересня 2020 року.

Також на конференції з інформаційної безпеки Black Hat 2020 фахівець Patrick Wardle з компанії Jamf розповів про низку експлойтів, що дозволяє обійти захист Microsoft від шкідливих макросів для зараження пристроїв під управлінням macOS. Уразливості представляють собою так звані zero-click, тобто, для їх експлуатації участь жертви не потрібна. Вони дозволяють зловмисникам доставляти шкідливе ПЗ користувачам macOS за допомогою документа Microsoft Office з макросами.

Окрім цього, використовуючи KrØØk, зловмисники можуть перехоплювати та розшифровувати конфіденційні дані жертв. Це можливо завдяки тому, що дані бездротової мережі шифруються за допомогою парного сеансового ключа WPA2, що складається з нулів, замість належного сеансового ключа. Для перехоплення даних кіберзлочинцям не потрібно знати навіть пароль від Wi-Fi, а достатньо знаходитися в межах сигналу Wi-Fi.

Зауважте, що шахраї навчилися красти інформацію через підробку Saved Messages у Telegram. Цим чатом люди користуються як листуванням з самим собою, і можуть зберігати там важливі і конфіденційні відомості.

До речі, шкідливі розширення були виявлені у Chrome Web Store під час вивчення декількох підроблених блокувальників реклами, що розповсюджувалися через магазин розширень. Фахівці виявили 295 шкідливих розширень, завантажених з магазину понад 80 млн разів.

Ця стаття Небезпечний банківський троян викрадає біткоїни та облікові дані з Google Chrome раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин