TsarBot cilja 750 finansijskih Android aplikacija

AUTOR ·

TsarBot sofisticirani zlonamjerni softver povezan je sa preko 750 kompromitovanih aplikacija širom svijeta, uključujući velike banke i finansijske platforme. Svojom sposobnošću da se širi preko phishing i preklapajućih napada, TsarBot predstavlja značajnu prijetnju bezbjednosti na internetu, pokazuje Cyble Research and Intelligence Labs (CRIL) izvještaj.

TsarBot

TsarBot cilja 750 finansijskih Android aplikacija; Source: Bing Image Creator

TSARBOT ANDROID TROJANAC

TsarBot je sofisticirani Android zlonamjerni softver koji posebno cilja na bankarske aplikacije, platforme društvenih medija, stranice za internet trgovinu i novčanike za kriptovalute u različitim regionima, uključujući Sjevernu Ameriku, Evropu, Azijsko-Pacifički region, Bliski istok i Australiju.

Identifikovano je da ovaj zlonamjerni softver cilja preko 750 aplikacija širom sveta, što ga čini značajnom prijetnjom u današnjem digitalnom okruženju. Koristeći usluge pristupačnosti i napredne komunikacione protokole, TsarBot izvršava prevare na uređaju, koje korisnici teško otkrivaju dok ne bude kasno.

TsarBot primjenjuje majstorsku klasu obmane i iskorišćavanja povjerenja korisnika. Zlonamjerni softver koristi phishing internet stranice koje ubjedljivo imitiraju legitimne finansijske platforme, mame nesvjesne žrtve da preuzmu zlonamjerni softver za ubacivanje (eng. dropper) prerušen u Google Play usluge. Ova pametna taktika koristi prednost poznavanja službene prodavnice aplikacija, što im omogućava da bez oklijevanja instaliraju zlonamjerni paket.

Phishing stranice koje koristi TsarBot su stručno napravljeni da oponašaju izgled i osjećaj pravih finansijskih platformi. Često sadrže logotipe, brendiranje, pa čak i bezbjednosne certifikate koji se na prvi pogled čine legitimnim. Ovaj nivo sofisticiranosti čini izazovom korisnicima da prave razliku između prave internet lokacije i one dizajnirane posebno za širenje zlonamjernog softvera. Kao rezultat toga, mnoge žrtve mogu nesvjesno da preuzmu zlonamjerni softver za ubacivanje, misleći da instaliraju ažuriranje ili novu aplikaciju sa Google Play usluga.

 

Mogućnosti

TsarBot sofisticirani Android bankarski trojanac je dizajniran da izbjegne otkrivanje i sa lakoćom izvrši zlonamjerne operacije. Prema izvještaju, TsarBot koristi usluge pristupačnosti kako bi poboljšao svoje zlonamjerne mogućnosti, što znači da zlonamjerni softver može da koristi ove funkcije uređaja da dobije neovlašteni pristup osjetljivim informacijama.

Jedna od ključnih tehničkih mogućnosti TsarBot zlonamjernog softvera je njegova sposobnost snimanja ekrana. Ova funkcija omogućava zlonamjernom softveru da napravi snimke ekrana i video snimke inficiranog uređaja, pružajući zlonamjernim akterima obilje informacija o ponašanju i interakcijama korisnika. Pored toga, TsarBot može da presreće SMS poruke, što mu omogućava da prikupi osjetljive informacije kao što su jednokratne lozinke (eng. one-time passwords – OTP) ili drugi povjerljivi detalji poslati putem tekstualne poruke.

TsarBot je sposoban da vrši praćenje korisničkog unosa (eng. keylogging), što uključuje snimanje svakog pritiska na taster na inficiranom uređaju. Ovo omogućava zlonamjernim akterima da uhvate akreditive za prijavu, brojeve kreditnih kartica i druge osjetljive informacije koje unose korisnici. Zlonamjerni softver takođe identifikuje instalirane aplikacije na inficiranom uređaju i upoređuje ih sa svojom ciljnom listom aplikacija. Ako se pronađe podudaranje, preuzima stranice za ubrizgavanje sa komandnog i kontrolnog servera (C&C) servera koje oponašaju legitimne aplikacije, podstičući korisnike da unesu povjerljive detalje.

Tehničke mogućnosti TsarBot zlonamjernog softvera dodatno su poboljšane tehnikama za hvatanje zaključavanja. Zlonamjerni softver može detektovati vrstu zaključavanja uređaja, kao što su PIN ili uzorci, nakon čega učitava lažni ekran za zaključavanje kako bi zabilježio ove podatke. Ovo omogućava zlonamjernim akterima da steknu potpunu kontrolu nad inficiranim uređajem, omogućujući im da s velikom preciznošću izvedu prevare na uređaju.

Napadi sa preklapanjem uključuju prikazivanje lažnih stranica za prijavu preko legitimnih aplikacija, što omogućava zlonamjernim akterima da ukradu bankarske akreditive, podatke o kreditnoj kartici i akreditive za prijavu. Ovo se postiže manipulisanjem korisničkim okruženjem uređaja da bi se prikazala lažna stranica za prijavu koja izgleda identično originalnoj aplikaciji. U međuvremenu, snimanje ekrana omogućava TsarBot zlonamjernom softveru da napravi snimke ekrana ili video snimke interakcija korisnika sa inficiranim uređajem.

Kombinacija preklapajućih napada i snimanja ekrana omogućava zlonamjernim akterima da izvrše složene šeme prevare, kao što je simuliranje radnji korisnika poput prevlačenja preko ekrana, tapkanja po ekranu i unosa akreditiva dok sakrivaju zlonamjerne aktivnosti pomoću prikaza crnog ekrana. Ovo otežava korisnicima da otkriju bilo kakvu sumnjivu aktivnost na svojim uređajima.

 

Komandni i kontrolni server (C&C)

TsarBot koristi napredni mehanizam komande i kontrole da bi olakšao svoje zlonamjerne aktivnosti. Ovaj mehanizam se zasniva na vezama putem mrežnog priključka (eng. WebSocket) preko više portova, omogućavajući zlonamjernom softveru komunikaciju sa komandno-kontrolnim serverom u realnom vremenu. Izvještaj naglašava da ove veze igraju ključnu ulogu u prenosu ukradenih podataka i omogućavanju dinamičkog izvršavanja prevarantskih aktivnosti na uređaju žrtve.

Mehanizam komandi i kontrole omogućava TsarBot zlonamjernom softveru da prima komande sa svog C&C servera, koje se mogu koristiti za manipulisanje kontrolama ekrana, izvršavanje pokreta i interakciju sa ciljanim aplikacijama. Ovaj nivo kontrole je bez presedana u napadima zlonamjernog softvera, jer omogućava zlonamjernim akterima da daljinski nadgledaju i manipulišu kompromitovanim uređajem bez otkrivanja. Činjenica da zlonamjerni softver održava listu ciljanih imena paketa aplikacija preuzetih sa njegovog C&C servera dodatno naglašava sofisticiranost TsarBot mehanizma komande i kontrole.

Posebno je zabrinjavajuće uključivanje bankarskih aplikacija iz zemalja poput Indije, Francuske, Poljske i Australije, kao i platformi za kriptovalute i aplikacija društvenih medija na ovoj listi. Ove vrste meta zlonamjerni akteri često smatraju visoko vrijednim zbog njihovog potencijala za finansijskom dobit ili osjetljivim korisničkim podacima. Kada korisnici stupaju u interakciju sa ovim aplikacijama, TsarBot ih prekriva phishing stranicama koje oponašaju legitimna okruženja da bi prevario žrtve da unesu svoje akreditive. Ukradeni podaci se zatim šalju nazad na C&C server radi eksploatacije.

Jedan od najznačajnijih aspekata TsarBot mehanizma komande i kontrole je njegova sposobnost da manipuliše kontrolama ekrana, izvršava pokrete i interakciju sa ciljanim aplikacijama. Ovaj nivo kontrole omogućava zlonamjernim akterima da daljinski nadgledaju i manipulišu kompromitovanim uređajem bez da budu otkriveni. Zlonamjerni softver može da koristi ovu mogućnost da simulira radnje korisnika kao što su prevlačenje preko ekrana i tapkanje ekrana dok prikriva zlonamjerne aktivnosti pomoću crnog ekrana.

Prenos ukradenih podataka je kritičan aspekt TsarBot komandno-kontrolnog mehanizma. Implikacije ove sposobnosti su dalekosežne, jer omogućava zlonamjernim akterima da iskoriste kompromitovane uređaje bez otkrivanja. Prenoseći osjetljive informacije nazad na svoj C&C server, TsarBot može izvršiti širok spektar zlonamjernih aktivnosti, uključujući krađu identiteta i finansijsku prevaru. Činjenica da je ova mogućnost uključena u mehanizam komandovanja i kontrole zlonamjernog softvera dodatno naglašava njegovu sofisticiranost.

 

Uticaj

Uticaj TsarBot zlonamjernog softvera na Android uređaje i korisnike ne može se precijeniti. Ovaj sofisticirani zlonamjerni softver je dizajniran da se širi putem phishing internet stranica koji se predstavljaju kao legitimne finansijske platforme, što žrtvama sve više otežava razlikovanje originalnih i lažnih internet lokacija. Jednom instaliran na uređaj žrtve, TsarBot aktivira preklapajuće napade prikazivanjem lažnih stranica za prijavu preko legitimnih aplikacija. Ova tehnika omogućava zlonamjernom softveru da besprijekorno prikuplja osjetljive korisničke podatke.

Posljedice za žrtve TsarBot zlonamjernog softvera su ozbiljne. Žrtve koje koriste svoje uređaje za internet bankarstvo ili druge finansijske transakcije rizikuju da im se ukradu akreditivi i koriste za zlonamjerne aktivnosti. Sposobnost zlonamjernog softvera da snima i daljinski kontroliše ekran, izvršavajući prevaru simulirajući korisničke radnje čine ga posebno podmuklim.

Uticaj na korisnike nije ograničen samo na finansijske gubitke; njihovi lični podaci takođe mogu biti ugroženi. Sposobnost zlonamjernog softvera da ukrade osjetljive informacije kao što su podaci o kreditnim karticama i podaci za prijavu dovodi žrtve u rizik od krađe identiteta, phishing napada ili drugih vrsta sajber kriminala. Korišćenje tehnika otključavanja za snimanje PIN-a ili lozinki uređaja pomoću lažnih zaključnih ekrana od strane TsarBot zlonamjernog softvera dodatno otežava korisnicima da se zaštite od ovog zlonamjernog softvera.

Širenje TsarBot zlonamjernog softvera takođe ima šire implikacije na Android ekosistem u cjelini. Činjenica da ovaj zlonamjerni softver cilja preko 750 aplikacija širom sveta, uključujući aplikacije za bankarstvo, finansije, kriptovalute i elektronsku trgovinu, ističe potrebu za većom budnošću među programerima i stručnjacima za bezbjednost. Ovo bi moglo dovesti do značajnih gubitaka u pogledu povjerenja kupaca i prihoda, jer se banke bore da obuzdaju posljedice aktivnosti ovog zlonamjernog softvera.

 

ZAKLJUČAK

TsarBot je izvanredan prikaz modernog zlonamjernog softvera koji se razvio kako bi iskoristio ranjivosti u funkcijama pristupačnosti i preklapajuće napade na nesvjesne korisnike širom svijeta. Njegova sposobnost širenja putem phishing internet stranica koji se predstavljaju kao legitimne finansijske platforme snažno naglašava na važnost provjere autentičnosti prije interakcije sa bilo kojim entitetom na internetu.

Širok spektar mogućnosti TsarBot zlonamjernog softvera je impresivan, uključujući snimanje ekrana, daljinsko upravljanje i izvođenje radnji korisnika, dok prikriva zlonamjerne aktivnosti pomoću prikaza crnog ekrana. Ovaj nivo sofisticiranosti zahteva da korisnici budu oprezni prema takvim prijetnjama redovnim ažuriranjem operativnih sistema i aplikacija kako bi spriječili iskorištavanje.

Analiza je dodatno istakla značaj TsarBot komandno-kontrolnog mehanizma, koji koristi veze putem mrežnog priključka preko više portova za komunikaciju sa svojim C&C serverom. Razumijevanjem ovog aspekta zlonamjernog softvera, sigurnosni istraživači mogu bolje shvatiti kako funkcioniše i razviti efikasnije mjere protiv sličnih prijetnji u budućnosti.

Sve ovo naglašava da borba protiv sofisticiranog zlonamjernog softvera poput TsarBot zlonamjernog softvera zahteva sveobuhvatan pristup koji uključuje edukaciju korisnika, redovna ažuriranja softvera i napredne mehanizme detekcije prijetnji. Samo kroz ovakve zajedničke napore moguće je smanjiti rizike koje predstavlja ovaj visoko prilagodljivi Android bankarski trojanac.

 

ZAŠTITA

Evo nekoliko preporuka za zaštitu korisnika i uređaja od TsarBot zlonamjernog softvera:

  1. Jedan od najefikasnijih načina da se izbjegne infekcija TsarBot zlonamjernim softverom jeste preuzimanje aplikacija isključivo iz pouzdanih izvora kao što su Google Play, Amazon i Samsung Galaxy Ove platforme imaju robusne bezbjednosne mjere, uključujući provjeru programera aplikacija prije nego što im se dozvoli da objavljuju svoje kreacije na ovim tržištima. Držeći se zvaničnih kanala za aplikacije, moguće je značajno smanjiti rizik od instaliranja softvera opterećenog zlonamjernim softverom koji bi TsarBot mogao da koristi za dobijanje neovlaštenog pristupa osjetljivim informacijama;
  2. Korisnici Android uređaja treba da omoguće Google Play Protect, jer je to ključni korak u zaštiti od zlonamjernih aplikacija poput onih koje potencijalno koristi TsarBot. Ova ugrađena bezbjednosna funkcija skenira sve instalirane aplikacije u potrazi za znacima sumnjivog ponašanja ili infekcija zlonamjernim softverom i može automatski ukloniti problematične aplikacije ako ih otkrije. Ako je ova zaštita stalno omogućenom, povećane su šanse da se spriječe pokušaji neovlaštenog pristupa od strane entiteta kao što su zlonamjerni akteri koji koriste TsarBot zlonamjerni softver;
  3. Jedna od ključnih strategija u sprečavanju uspješnog napada TsarBot zlonamjernog softvera je izuzetan oprez prilikom rukovanja sa elektronskom poštom ili neželjenim porukama koje sadrže veze. Ove veze bi potencijalno mogle direktno dovesti do infekcije zlonamjernim softverom od strane zlonamjernih aktera koji koristi ovakve taktike za distribuciju priloga sa zlonamjernim softverom ili do preusmjeravanja internet pregledača ka zlonamjernim internet lokacijama dizajniranim posebno za phishing;
  4. Zaštita od TsarBot zlonamjernog softvera takođe podrazumijeva održavanje robusnih bezbjednosnih praksi kada je u pitanju upravljanje lozinkama. Korišćenje jedinstvenih, složenih kombinacija koje je drugima teško pogoditi je neophodno za sprečavanje pokušaja neovlaštenog pristupa putem napada grubom silom (eng. brute force attack) ili metoda pogađanja zasnovanih na rječniku koje obično koriste zlonamjerni akteri koristeći zlonamjerni softver poput TsarBot zlonamjernog softvera;
  5. Redovno ažuriranje operativnog sistema i instaliranih aplikacija najnovijim bezbjednosnim ispravkama može pomoći u sprečavanju iskorišćavanja poznatih ranjivosti koje bi TsarBot mogao da cilja radi dobijanja neovlaštenog pristupa osjetljivim podacima ili sistemima koje napadaju zlonamjerni akteri koji koriste ovu konkretnu varijantu zlonamjernog softvera;
  6. Javne Wi-Fi mreže često nemaju robusno šifrovanje, što ih čini glavnim metama za zlonamjerne aktere koji žele da presretnu i iskoriste korisničke akreditive putem napada čovjek u sredini (eng. man-in-the-middle attack – MitM) – taktike koju bi TsarBot mogao da koristi kako bi ukrao osjetljive informacije od nesvjesnih žrtava koje pregledaju internet na takvim neobezbijeđenim vezama;
  7. Instaliranje pouzdanih bezbjednosnih rješenja poput antivirusnih programa može pružiti dodatni sloj zaštite od prijetnji zlonamjernog softvera, uključujući one koje predstavljaju TsarBot i slični bankarski trojanci dizajnirani posebno za finansijsku dobit putem krađe identiteta ili neovlaštenih transakcija sprovedenih bez znanja ili saglasnosti korisnika;
  8. Redovno pregledanje izvoda sa računa i istorije transakcija je ključno za otkrivanje bilo kakve sumnjive aktivnosti koja bi mogla biti pokazatelj za uspješan napad zlonamjernih aktera koji koriste zlonamjerni softver poput TsarBot zlonamjernog softvera – što korisnicima omogućava da preduzmu brze mjere ako je potrebno, kao što je prijavljivanje incidenata nadležnim organima ili zamrzavanje ugroženih sredstava do daljnjeg obavještenja;
  9. Prilikom dijeljenja osjetljivih informacija, razmislite o korišćenju platformi za razmjenu poruka sa šifrovanjem od kraja do kraja (eng. end-to-end encryption – E2EE) koje štiti podatke u tranzitu od presretanja od strane neovlaštenih strana koje traže pristup putem zlonamjernog softvera, dizajniranog posebno za presretanje i iskorišćavanje korisničkih akreditiva tokom prenosa preko nebezbjednih mreža ili protokola kojima nedostaje robusno šifrovanje;
  10. Praćenje najnovijih vesti o bezbjednosti, savjeta i izvještaja o obavještajnim podacima o prijetnjama može pomoći u predviđanju potencijalnih rizika povezanih sa evoluirajućim sajber prijetnjama, poput onih koje predstavlja To omogućava primjenu proaktivnih mjera poput ažuriranja softverskih ispravki češće nego obično tokom perioda povećanog rizika zbog novootkrivenih ranjivosti koje se iskorištavaju u napadima u realnom vremenu koji se sprovode putem varijanti zlonamjernog softvera sličnih TsarBot zlonamjernom softveru.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.