Zestawienie tygodniowe 27 kwietnia – 4 maja

Szkodliwe oprogramowanie na Androida

Naukowcy zajmujący się bezpieczeństwem z Cybereason Nocturnus ostrzegają o nowo odkrytym kawałku szkodliwego oprogramowania na Androida. Jest on przeznaczony dla użytkowników blisko 300 aplikacji finansowych w Stanach Zjednoczonych i Europie.

Nazwany EventBot, wydaje się nowo opracowanym oprogramowaniem złośliwym, ponieważ jego kod znacznie różni się od kodu innych szkodliwych programów dla Androida. Co więcej, naukowcy uważają, że ten trojan bankowy i infostealer jest w fazie dynamicznego rozwoju. Trojan został zaprojektowany w celu nadużywania funkcji ułatwień dostępu Androida, kradzieży informacji o użytkownikach i urządzeniach oraz danych z różnych aplikacji, w tym ukierunkowanego oprogramowania finansowego i wiadomości SMS. EventBot, może potencjalnie wykraść kluczowe dane biznesowe, biorąc pod uwagę, że urządzenia mobilne przechowują wiele danych biznesowych oprócz danych osobowych, zwłaszcza w organizacjach, które mają zasady „Bring Your Own Device”.

Po zainstalowaniu bot prosi o dużą liczbę uprawnień na urządzeniu, takich jak możliwość wyświetlania na innych aplikacjach, odczytywanie pamięci zewnętrznej, instalowanie pakietów, otwieranie gniazd sieciowych, odbieranie wiadomości SMS lub uruchamianie przy starcie systemu, i prosi użytkownika o włączenie usług dostępności.

Plik konfiguracyjny, który pobiera złośliwe oprogramowanie, zawiera listę ukierunkowanych aplikacji, w tym 185 aplikacji bankowych (dla banków we Włoszech, Wielkiej Brytanii, Niemczech, Francji, Hiszpanii, Stanach Zjednoczonych, Rumunii, Irlandii, Indiach, Austrii, Szwajcarii, Australii i Polsce), oraz 111 globalnych aplikacji finansowych, takich jak Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase i paysafecard.

Trojan wysyła zapytanie do listy zainstalowanych aplikacji i informacji systemowych i wysyła wszystkie dane do serwera dowodzenia i kontroli (C&C) w postaci zaszyfrowanej, a także może analizować wiadomości SMS, co pozwala ominąć zabezpieczenia uwierzytelniania dwuskładnikowego. Funkcja o nazwie parseCommand pozwala trojanowi na aktualizację plików konfiguracyjnych, webinjectów, C&C i tym podobnych. Złośliwe oprogramowanie może aktualizować swój główny moduł, a także umożliwia dynamiczne ładowanie tego modułu. Nowsze wersje trojana mają możliwość śledzenia zmian kodu PIN w ustawieniach urządzenia.

Dochodzenie w sprawie EventBot ujawniło wiele próbek przesłanych do VirusTotal przez tego samego użytkownika, a badacze uważają, że przesłano je z komputera autora lub z usługi wykrywania, która z kolei przesyła próbki do internetowych baz danych złośliwego oprogramowania.

EventBot nie wydaje się być wykorzystywany w do wielu kampanii, a naukowcy nie mogli jeszcze przypisać go do konkretnego aktora. Oczekują jednak, że złośliwe oprogramowanie zostanie wprowadzone do podziemnych społeczności po zakończeniu programowania. Jednak Cybereason Nocturnus był w stanie połączyć EventBot z C&C, którego infostealer Android Trojan użył do ataków na Włochy pod koniec 2019 roku.

„Z każdą nową wersją złośliwe oprogramowanie dodaje nowe funkcje, takie jak dynamiczne ładowanie biblioteki, szyfrowanie i zmiany zależne od lokalizacji i producenta. EventBot wydaje się być zupełnie nowym złośliwym oprogramowaniem na wczesnych etapach rozwoju, co daje nam ciekawy pogląd na to, w jaki sposób atakujący tworzą i testują swoje szkodliwe aplikacje ” – podsumowuje Cybereason Nocturnus.

Sukces targetowanych ataków

W ciągu ostatnich kilku miesięcy wiele grup osób atakujących skutecznie przejęło korporacyjne konta e-mail składające się z co najmniej 156 wysokich rangą oficerów w różnych firmach z siedzibą w Niemczech, Wielkiej Brytanii, Holandii, Hongkongu i Singapurze. Nowa kampania cyberataków, nazwana „PerSwaysion”, wykorzystała usługi udostępniania plików Microsoft – w tym Sway, SharePoint i OneNote – do przeprowadzenia wysoce ukierunkowanych ataków phishingowych. To kolejny raport Group-IB Threat Intelligence. Według niego operacje PerSwaysion zaatakowały kierownictwo ponad 150 firm na całym świecie, przede wszystkim firmy z sektora finansowego, prawa i nieruchomości. „Wśród tych oficerów wysokiego szczebla pojawiło się ponad 20 kont kierowników, prezesów i dyrektorów zarządzających w Office365”. Większość operacji PerSwaysion zostało zorganizowanych przez oszustów z Nigerii i Południowej Afryki, którzy korzystali z zestawu phishingowego opartego na JavaScript Vue.js, ewidentnie opracowanego i wynajętego od wietnamskojęzycznych hakerów.

„Do końca września 2019r. kampania PerSwaysion przyjęła wiele dojrzałych stosów technologicznych, używając Google Appspot do serwerów phishingowych i Cloudflare do serwerów zaplecza danych”. Podobnie jak większość ataków phishingowych mających na celu kradzież danych uwierzytelniających Microsoft Office 365, fałszywe wiadomości e-mail wysyłane w ramach operacji PerSwaysion również przyciągały ofiary nieszkodliwym załącznikiem PDF zawierającym link „czytaj teraz” do pliku hostowanego przez Microsoft Sway.

„Atakujący wybierają legalne usługi udostępniania treści w chmurze, takie jak Microsoft Sway, Microsoft SharePoint i OneNote, aby uniknąć wykrycia ruchu” – twierdzą naukowcy.