En uppdaterad version av Bankers spionprogram för Android har upptäckts (öppnas i en ny flik), som stjäl ett offers bankuppgifter och eventuellt även pengar i vissa fall.
Enligt Microsofts cybersäkerhetsforskare (öppnas i en ny flik) har en okänd illvillig aktör lanserat en smishing-kampanj (SMS-nätfiske), genom vilken de försöker lura folk att ladda ner TrojanSpy:AndroidOS/Banker .ELLER. Det är en variant av skadlig programvara (öppnas i en ny flik) som kan extrahera alla typer av känslig information, inklusive koder för tvåfaktorsautentisering (2FA), inloggningsuppgifter och lösenord för kontot, såväl som annan personligt identifierbar information (PII).
Det som gör denna attack särskilt oroande är sekretessen för hela operationen.
Beviljande av större tillstånd
Efter att användaren har laddat ner skadlig programvara måste de bevilja vissa behörigheter, såsom MainActivity, AutoStartService och RestartBroadCastReceiverAndroid.
Detta gör att du kan avlyssna samtal, komma åt samtalsloggar, meddelanden, kontakter och till och med nätverksinformation. Genom att kunna göra dessa saker kan skadlig programvara också ta emot och läsa inkommande tvåfaktorsautentiseringskoder via SMS och radera dem för att säkerställa att offret inte misstänker något misstänkt.
För att göra saken värre kan appen styra tyst läge, vilket innebär att inkommande 2FA-koder via SMS kan tas emot, läsas och raderas, helt tyst: inget aviseringsljud, ingen vibration, inget skärmljus, något.
Hotaktörerna bakom kampanjen är okända, men vad Microsoft vet är att appen, som sågs första gången 2021 och avsevärt förbättrad sedan dess, kan nås på distans.
Effekten av attacken är också förvirrad, eftersom det är svårt att avgöra exakt vilka personer som är drabbade. Förra året observerades Banker attackera endast indiska konsumenter, och med tanke på att nätfiske-sms:et bar logotypen för den indiska banken ICICI, är det säkert att anta att indiska användare också är i korset esta vez.
"Några av de skadliga APK-filerna använder också samma indiska banklogotyp som den falska appen vi undersökte, vilket kan tyda på att aktörerna hela tiden genererar nya versioner för att fortsätta kampanjen", sa forskarna.
Via: registret (öppnas i en ny flik)