Банкер TrickBot притворяется антивирусом и ворует деньги в обход 2ФА

Опубликовано at 17:59
150 0

Не только коронавирус, но и самый успешный банковский вирус 2019 года, шагает по планете.

В 2019 году TrickBot’ом были заражены не менее 250 миллионов устройств. Кроме того, отмечается, что вирус способен отключать механизмы защиты от вирусов, встроенные разработчиком в саму операционную систему.

Теперь его операторы разработали собственное приложение для Android, которое помогает обойти двухфакторную аутентификацию (2ФА), используемую банками. Это приложение перехватывает одноразовые коды безопасности из SMS-сообщений и передает их на управляющий сервер, своим операторам.

Исследователи рассказывают, что таким атакам подвергаются пользователи Windows, зараженные десктопной версий TrickBot. Если вредонос обнаруживает, что пользователь обращается к сайтам определенных банков, он создает веб-страницу, на которой побуждает пользователя загрузить и установить фейковое защитное решение, которое якобы «защищает учетные записи». На самом деле это приложение, которое прикидывается мобильным антивирусом Avast, содержит малварь TrickMo.

Как только пользователь устанавливает этот поддельный антивирус, тот запрашивает у жертвы доступ к службе специальных возможностей (Accessibility service). Это известная дыра, через которую вирусы захватывают контроль над устройством и push-уведомления. Также TrickMo устанавливает себя как приложение для работы с SMS по умолчанию. Это позволяет ему перехватывать любые SMS-сообщения, поступающие на устройство, например, отправленные банками.

Известно, что малварь также собирает сведения об устройстве, которые затем отправляет своим операторам для фингерпринтинга. Таким образом, операторы TrickBot могут воспроизвести «отпечатки» жертвы во время выполнения мошеннических транзакций, создавая у банка впечатление, что операция произошла с легитимного устройства. Наконец, TrickMo обладает функцией самоуничтожения, чтобы избавиться от всех доказательства своего присутствия на устройстве.

Совсем недавно, в конце июля 2019 года эксперты АКБ рассказывали про еще одно усовершенствование банковского трояна TrickBot: теперь он в реальном времени отключает Защитник Windows, для чего использует по ситуации одну из 13 (!) отмычек. До ого очередная версия TrickBot начала собирать учетные данные электронной почты и контактов из ящиков жертвы, а также рассылать вредоносный спам с ее адреса. С 2016 года вредонос претерпел кардинальные преобразования: изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами.

Читайте также на АКБ:

TrickBot собирает армию для атак на удаленные рабочие места

Подписываемся, следим @CyberAgency

Related Post