の新しい株 Android マルウェア の顧客をターゲットに スペインでオンラインバンキングと暗号通貨ウォレットが検出されました そしてイタリア、FluBotが法律によって倒されてからわずか数週間。 実際、この発見は、この洗練されたAndroidマルウェアが、当初はスペインの銀行事業体を対象としていたデバイスを完全にリモート制御する機能を使用して調査されていたときに発生しましたが、その後、最終的には他の多くの国の企業にも視野を広げました。最近解体されました。 SantanderまたはCaixaBankアカウントをお持ちの場合は、この新しいAndroidウイルスに注意してください。
コードネームが付けられた情報を盗むトロイの木馬 マリボット F5 Labsによると、多くの機能があります。 それはからの範囲である可能性があります 資格情報とCookieを盗む Android Accessibility Serviceを悪用して、被害者のデバイスの画面を監視し、ログインの保護を強化する多要素認証(MFA)コードをバイパスします。 これらは、被害者に多くの損害を与える可能性のあるウイルスの可能性の一部です。
MaliBotとは何ですか?それについて何が知られていますか?
MaliBotについて知られていることは、それが暗号通貨に偽装されていることです マイニングアプリケーション 、CryptoAppやMining Xなど、潜在的な訪問者をダウンロードしてトロイの木馬が行動できるように正確に設計された不正なWebサイトを通じて配布されます。 一方、それはまた使用します smishing 感染したスマートフォンの連絡先にアクセスし、マルウェアへのリンクを含むSMSメッセージを送信することにより、マルウェアを拡散します。 ダウンロードされると、MaliBotはC2サーバーに接続して感染したデバイスを登録し、被害者にアクセス許可を付与するように依頼します。
「 MaliBotコマンドアンドコントロール(C2)はロシアにあります F5Labsの研究者であるDorNizar氏によると、Salityマルウェアの配布に使用されたのと同じサーバーを使用しているようです。 「これは、さまざまな機能、ターゲット、C2サーバー、ドメイン、およびパッケージ化スキームを備えた、SOVAマルウェアの大幅に変更されたリワークです。」 その一部として、Salityウイルスは、2003年以降自由に流通しており、新しい機能を追加することで時間の経過とともに改善されます。
ソバ (ロシア語で「フクロウ」)は2021年2月に最初に検出され、被害者が含まれているバンキングアプリを開いた場合に、CXNUMXサーバーによって提供されるリンクを含むWebViewを使用して不正なページを表示することで機能するオーバーレイ攻撃を実行できることで注目に値します。アクティブなターゲットのリストにあります。 このアプローチを使用しているMaliBotのターゲット銀行には次のものがあります。 Santander、CaixaBank、UniCredit、 およびCartaBCC。
その機能、動作モード、およびその使用目的
Android アクセシビリティサービス はAndroidデバイスで実行されるバックグラウンドサービスであり、障害を持つユーザーを支援しますが、その機能のいずれかに慣れている場合は、このサービスを使用することもできます。 スパイウェアやトロイの木馬によって、デバイスのコンテンツをキャプチャするために長い間悪用されてきました。 入力されたクレデンシャルを傍受する 他のアプリにユーザーを無防備にすることによって。
このマルウェアは、被害者のGoogleアカウントのパスワードとCookieをバイパスできることに加えて、Google認証システムアプリから2FAコードを解読し、BinanceアプリとTrustWalletアプリから合計残高やシードフレーズなどの機密情報を漏洩するように設計されています。 。 Malibotは、新しい不明なデバイスから盗まれた資格情報を使用してアカウントにログインしようとした場合でも、アクセシビリティAPIアクセスを利用して、Googleの2要素認証(XNUMXFA)メソッドを無効にすることができます。
これらのマルウェア機能はすべて、多くの用途に使用できます クレデンシャルや暗号通貨の盗難以上のもの 。 実際、WebViewを利用するアプリは、最初はその目的が具体的であっても、資格情報とCookieを盗む可能性があります。 気をつけてください、気づかないうちに攻撃する可能性があります!
