Alien MaaS Otmica Android uređaja

Alien MaaS Otmica Android uređaja



Istraživači sigurnosti otkrili su i analizirali novi malware za Android pod imenom Alien. Otkrio ThreatFabric, koji je nakon toga objavio izvješće detaljno opisujući njihovo otkriće, jedna od istaknutih značajki trojanca je sposobnost krađe vjerodajnica iz 226 različitih aplikacija. Prema izvješću, zlonamjerni softver aktivan je od početka ove godine i ponuđen je kao Malware-as-a-Service ( Mreža ) na podzemnim hakerskim forumima. To je dovelo do usporedbe s Cerberus i Alien je bio bivša zamjena za kralja Android brda. Puka je usporedba s Cerberusom, međutim, o tome kasnije.

Samo ove godine ThreatFabric je otkrio nekoliko novih Android trojanaca, koji su naizgled stvoreni s financijskim motivima. Srećom, ne svi oni otkrio pokazalo se uspješnim, a neki su u potpunosti pali s karte. Hoće li se Alien pridružiti neuspješnoj hrpi, nije poznato, ali s obzirom na bogati skup značajki zlonamjernog softvera, ne bi bilo pametno kladiti se protiv njega. Kad ga je analitičar u početku otkrio, u početku se zamijenio s drugom verzijom Cerberus, međutim, otkriće posta na podzemnom hakerskom forumu koji najavljuje razvoj novog Android malware-a pokazatelj je novog zlonamjernog softvera. Analizirajući primljene uzorke, čini se da je Alien dio nove vrste trojanaca koji ciljaju Android uređaje.





Ova nova vrsta može se smatrati bankarskim trojancima koji su u svoj kôd dodali mogućnosti daljinskog pristupa, što ih čini hibridom bankarskog trojanca dizajniranog za krađu vjerodajnica i trojanaca s daljinskim pristupom.

vanzemaljski malware koji zaražava android uređaje



To Alienu omogućuje ne samo krađu vjerodajnica, već i pristup zaraženom uređaju, te ukradene vjerodajnice može aktivno koristiti za financijsku dobit. Prema istraživačima sigurnosti, zlonamjerni softver može se pohvaliti sljedećim značajkama:

  • Prekrivanje: dinamično (lokalne injekcije dobivene iz C2)
  • Keylogging
  • Daljinski pristup
  • Sakupljanje SMS-a: popis SMS-a
  • Sakupljanje SMS-a: prosljeđivanje SMS-a
  • Prikupljanje podataka o uređaju
  • Zbirka popisa kontakata
  • Popis aplikacija
  • Zbirka lokacija
  • Prekrivanje: ažuriranje popisa ciljeva
  • SMS: Slanje
  • Pozivi: Izrada USSD zahtjeva
  • Pozivi: prosljeđivanje poziva
  • Daljinske radnje: instaliranje aplikacije
  • Daljinske radnje: pokretanje aplikacije
  • Daljinske radnje: uklanjanje aplikacije
  • Daljinske radnje: Prikazivanje proizvoljnih web stranica
  • Daljinske radnje: zaključavanje zaslona
  • Obavijesti: Push obavijesti
  • Otpornost C2: pomoćni popis C2
  • Samozaštita: skrivanje ikone aplikacije
  • Samozaštita: Sprječavanje uklanjanja
  • Samozaštita: otkrivanje emulacije
  • Arhitektura: Modularna

Većina gore navedenog skupa značajki korištena je za kampanje prijevara i druge povezane financijske zločine. Čini se da je ovo trenutni trend koji trenutno dominira zlonamjernim softverom Android, a napadači ciljaju mrežne račune radi financijske dobiti. Od gore spomenutih 226 aplikacija koje je Alien ciljao, većina se isporučuje s lažnim stranicama za prijavu za bankarske i druge financijski orijentirane aplikacije. Međutim, zlonamjerni softver također će ciljati e-poštu, društvene medije, trenutne poruke i aplikacije za kriptovalute. Većina ciljanih financijskih institucija uglavnom je smještena u Španjolskoj, Turskoj, Njemačkoj, SAD-u, Italiji, Francuskoj, Poljskoj, Australiji i Velikoj Britaniji. U zaključku izvještaja istraživači su izjavili,

„U slučaju Alien, napredne značajke poput ukradavača autentifikacijskog koda i njuškača obavijesti, značajke Trojanca prilično su česte. Kao i za mnoge trojanske programe, iznajmljivač može dinamički proširiti popis i primijeniti ga na sve botove upisane u botnet. Ciljane aplikacije u dodatku članka su objedinjeni popis ciljeva uočenih u uzorcima pronađenim u divljini, koji su do sada narasli na preko 226 ciljanih aplikacija.
Iako je teško predvidjeti daljnje korake izvanzemaljskih autora, bilo bi logično da poboljšaju RAT, koji se trenutno temelji na TeamVieweru (i stoga je vidljiv kada se instalira i izvrši na uređaju). Mogli bi stvoriti i ATS značajku za automatizaciju postupka prijevare. Ono što se može smatrati zdravo za gotovo jest da će broj novih bankarskih trojanaca samo rasti, a mnogi će ugrađivati ​​nove i poboljšane značajke kako bi povećali stopu uspješnosti prijevara. '

Veza na Cerberus

Posljednji je put ova publikacija pokrivala vijesti vezane uz Cerberus u srpnju 2020. godine, kada je verzija zlonamjernog softvera skrivena u a pretvarač valuta . U to su vrijeme istraživači sigurnosti primijetili koliko je brzo zlonamjerni softver postao jedna od ozbiljnijih prijetnji s kojima se suočavaju korisnici Androida. To je učinjeno za nešto više od godinu dana, Cerberus je otkriven u lipnju 2019. godine, a to se može zahvaliti brzom usvajanju MaaS taktike. Alien je dobro naučio ovu lekciju jer pruža istraživačima sigurnosti dodatni zadatak da analiziraju način isporuke zlonamjernog softvera. Kako su hakeri koji unajmljuju zlonamjerni softver oni koji ga distribuiraju, poslužit će se bilo kojom metodom za koju vjeruju da je najbolja. To znači da se može koristiti širok spektar načina isporuke koji otežavaju obranu od napada.

Unatoč Cerberusovom dramatičnom porastu u kolovozu, zlonamjerni softver je mrtav. Smrt se može pripisati nekoliko stvari, uključujući pogrešnu arhitekturu zlonamjernog softvera, tehnička ograničenja pomoćnog osoblja i tehničke probleme sa samim zlonamjernim softverom. Ovi problemi nisu riješeni što je omogućilo Google Play Protectu da otkrije sve poznate uzorke zlonamjernog softvera. To bi zauzvrat većinu kupaca zlonamjernog softvera učinilo nevjerojatno nesretnima. Za programere iza Cerberusa napisano je na zidu i pokušali su prodati zlonamjerni softver zajedno s kupcem portfelj za 100.000 USD .

Prodaja zlonamjernog softvera pokušana je putem prodaje na dražbi, no pokazalo se da je to bio mračan neuspjeh i autor zlonamjernog softvera javno je objavio izvorni kod onima koji su željeli pokrenuti vlastitu tvrtku MaaS koja cilja Android uređaje. Upravo je ovo javno objavljivanje izvornog koda značilo da će Cerberus živjeti i u drugim dizajnom zlonamjernog softvera. Alien je dokaz za to. Nadalje, istraživači još uvijek povremeno otkrivaju Cerberus kampanje, ali s obzirom na to kako lako Google Play Protect može otkriti zlonamjerni softver, oni su u konačnici osuđeni na najmanji utjecaj na ciljanu bazu Android korisnika.

Kao što je gore spomenuto, Alienove sličnosti s Cerberusom dovele su do toga da se u početku vjerovalo da je to druga verzija Cerberusa nakon otkrića. Osim neke refaktorizacije vanzemaljske arhitekture, ostala je u osnovi ista kao i Cerberus. Tek dok se nije pojavila objava na forumu koja oglašava novog Android trojanca, istraživači su znali da imaju posla s novim zlonamjernim softverom, unatoč tome što su se u velikoj mjeri oslanjali na Cerberusovu bazu koda. Vremenski se preklapa između Cerberusove smrti i Alienovog rođenja, što sugerira da iza Aliena možda stoje programeri Cerberusa. Istraživači su primijetili,

„Gledajući ono što sada znamo o tome što se dogodilo s Cerberusom i Alienom, mogli bismo pretpostaviti da je Cerberus bio u padu jer su se programeri iza Trojanca odmaknuli od projekta s izvornim izvorom kako bi pokrenuli vlastiti. Zanimljivo je da ovu špekulaciju potkrepljuje činjenica da kada je druga verzija Cerberusa (v2) objavljena u svibnju 2020. godine, nije uveo neke velike nove značajke, osim one za krađu 2FA kodova iz Googleove autentifikacijske aplikacije. Kôd tog koda značajke gotovo je identičan onome koji je predstavljen s Trojancem Alien u veljači 2020. To ukazuje na to da je u to vrijeme programer iza Cerberus Trojanca imao pristup i mogao biti odgovoran za razvoj Alien koda. '

Iako se Alien temelji na Cerberusu, postoji nekoliko razlika. Za jednog su protokoli naredbenog i kontrolnog poslužitelja različiti, ali najmarkantnija razlika je modul udaljenog pristupa koji se nalazi u Alienu. Jednom kada je trojanski program instaliran, ali nije aktivan TeamViewer. TeamViewer legitimni je alat koji organizacije koriste za odobravanje daljinskog pristupa IT odjela strojevima na mreži, hakeri su ovu upotrebu ukinuli kako bi stekli pristup ranjivim strojevima kako bi ispuštali druge vrste zlonamjernog softvera ili preuzeli kontrolu nad uređajem. Za tradicionalni bankarski trojanski program napadači mogu vidjeti mogućnost otvaranja i zatvaranja bankarskih aplikacija na žrtvinom uređaju, kao i određivanje ponašanja korisnika, kao način za laki zaradu.

ubuntu pregled skrivenih datoteka

Unatoč brzom porastu Cerberusa među Android malware-om i trojanskim virusima, njegov će krajnji neuspjeh biti ono po čemu je zapamćen. Ovaj neuspjeh i naknadno objavljivanje izvornog koda ne znače da će ostaviti nasljeđe mačaka kopija. U slučaju Alien, potencijalno je nastala nova vrsta Android zlonamjernog softvera koji je naučio iz prošlih neuspjeha da bi u konačnici stvorio zastrašujući zlonamjerni softver sposoban nanijeti veću štetu od svog prethodnika. Dodavanje mogućnosti daljinskog pristupa trebalo bi biti zabrinjavajuće i trebalo bi podsjetiti korisnike Androida da ne preuzimaju aplikacije iz sumnjivih, neslužbenih trgovina aplikacija.