Nowy, wyrafinowany trojan na Androida
Znaleziono nowego trojana bankowego dedykowanego na Androida. Do tej pory odkryto dwadzieścia dwa przypadki ataków, ale oczekuje się, że będzie ich więcej.
Szkodliwe oprogramowanie, wykryte po raz pierwszy pod koniec października 2021 r., wydaje się nowe i wciąż w fazie rozwoju. Zostało odkryte przez Cleafy, firmę zajmującą się wykrywaniem i zapobieganiem oszustwom internetowym z Mediolanu we Włoszech. Cleafy nazywa go „SharkBot”, od częstotliwości słowa „sharked” w jego plikach binarnych.
SharkBot nie znajduje się na oficjalnym sklepie Google. Oznacza to, że musi zostać załadowany z boku, dostarczając plik APK na urządzenie i upewniając się, że został załadowany ręcznie. W analizie technicznej szkodliwego oprogramowania Cleafy zauważa, że podszywa się pod legalną aplikację, używając wspólnych nazw i ikon.
Jeśli oszustwo się powiedzie i złośliwe oprogramowanie zostanie zainstalowane, natychmiast próbuje włączyć usługi ułatwień dostępu Androida, dostarczając ofierze fałszywe wyskakujące okienka – takie jak „Zezwól odtwarzaczowi multimedialnemu na pełną kontrolę nad urządzeniem”. Jeśli to się powiedzie, SharkBot ma wszystkie potrzebne uprawnienia.
Po zaakceptowaniu złośliwe oprogramowanie może umożliwiać rejestrowanie klawiszy (w celu kradzieży wpisanych danych uwierzytelniających), przechwytywać wiadomości SMS (w celu obejścia MFA), dostarczać ataki typu overlay (w celu kradzieży danych logowania i danych karty kredytowej) oraz zdalnie sterować urządzeniem, ponieważ uprawnienia zostały przyznane za pośrednictwem fałszywego pop- upu.
Warto zauważyć, że SharkBot próbuje również zastosować stosunkowo nowatorską technikę znaną jako atak systemów automatycznego transferu (ATS). „Ta technika była ostatnio obserwowana w innych trojanach bankowych, takich jak Gustuff”, wyjaśnia Cleafy. „ATS to zaawansowana technika ataku (dość nowa w systemie Android), która umożliwia atakującym automatyczne wypełnianie pól w legalnych aplikacjach bankowości mobilnej i inicjowanie przelewów pieniężnych z zaatakowanych urządzeń”.
Funkcjonalność ATS zawarta jest w module pobranym oddzielnie od C2. „Biorąc pod uwagę jego modułową architekturę”, komentuje Cleafy, „nie wykluczamy istnienia botnetów o innych konfiguracjach i celach”.
Zakłada się, że ATS jest używany przez SharkBot do ominięcia behawioralnych środków wykrywania stosowanych przez wiele instytucji finansowych. Jeśli ATS jest używany na urządzeniu zaufanym, faza „rejestracji nowego urządzenia” nie jest konieczna, można ominąć MFA oparte na SMS, a biometria behawioralna nie jest skuteczna.
Chociaż stosunkowo niewiele przypadków SharkBota odkryto na wolności, Cleafy podejrzewa, że zagrożenie będzie rosło.
Wyciek danych osobowych z sieci pizzerii
Amerykańska sieć pizzerii California Pizza Kitchen (CPK) powiadamia pracowników o naruszeniu danych, które mogło skutkować dostępem hakerów do niektórych ich danych osobowych.
Incydent został zidentyfikowany 15 września, ale firma twierdzi, że potrzebowała kilku tygodni na zakończenie dochodzenia. Firma zaczęła wysyłać listy z powiadomieniem do ofiar naruszenia dopiero 15 listopada.
Wydaje się, że ponad 103 000 osób – obecnych i byłych pracowników CPK – zostało dotkniętych naruszeniem danych, powiedział sieć pizzerii prokuratorowi generalnemu stanu Maine.
Niektóre ze zhakowanych plików, jak wyjaśnia CPK, zawierały dane osobowe związane z jej pracownikami, w tym nazwiska i numery PESEL.
Firma twierdzi, że nie ma dowodów na to, że skompromitowane informacje mogły zostać niewłaściwie wykorzystane, i twierdzi, że postanowiła poinformować wszystkie potencjalnie dotknięte osoby „z dużej ostrożności”.
Ponadto CPK twierdzi, że podjęła kroki w celu poprawy bezpieczeństwa swoich systemów, w tym przeglądu istniejących polityk i wdrożenia dodatkowych środków, aby zapewnić, że może zapobiec podobnym incydentom.
Czy nastolatek ukradł 36,5 miliona dolarów w kryptowalucie?
Kanadyjski nastolatek został aresztowany za rzekomą rolę w kradzieży kryptowaluty o wartości około 36,5 miliona dolarów (46 milionów CAD) od ofiary w Stanach Zjednoczonych, podała Hamilton Police w Ontario w Kanadzie.
Aresztowania dokonano w następstwie śledztwa, które rozpoczęło się w marcu 2020 r. i w którym uczestniczyły również FBI i United States Secret Service Electronic Crimes Task Force.
Jak ujawniły władze, do kradzieży kryptowalut wykorzystano wymianę kart SIM. Technika ta polega na manipulowaniu pracownikami dostawcy usług sieci bezprzewodowej w celu przeniesienia numeru telefonu ofiary na kartę SIM posiadaną przez atakującego.
Dzięki temu cyberprzestępcy mogą przechwytywać połączenia telefoniczne i wiadomości SMS, które może otrzymać ofiara, w tym te, które zawierają dwuskładnikowe kody autoryzacyjne.
Podczas dochodzenia władze odkryły, że część skradzionych środków została wykorzystana do zakupu nazwy użytkownika online uważanej za rzadką w społeczności graczy. W ten sposób udało im się odkryć posiadacza konta.
Policja Hamilton poinformowała, że nienazwany nastolatek został aresztowany pod zarzutem kradzieży ponad 5000 dolarów oraz „posiadanie mienia lub dochodów z mienia zdobytego w wyniku przestępstwa”.
Władze poinformowały również, że skonfiskowano ponad 5,5 miliona dolarów (ponad 7 milionów CAD) w kryptowalucie.