Marcher malware: Ένα από τα ισχυρότερα τραπεζικά Trojan

Οι ερευνητές στον τομέα της ασφάλειας ανακάλυψαν μια νέα εκστρατεία hacking τραπεζικής επίθεσης που συνδυάζει την πιστοποίηση phishing, την ικανότητα του Trojan και την κλοπή δεδομένων από πελάτες που απευθύνονται σε μεγάλες Αυστριακές τράπεζεςΟι ερευνητές στον τομέα της ασφάλειας ανακάλυψαν μια νέα εκστρατεία hacking τραπεζικής επίθεσης που συνδυάζει την πιστοποίηση phishing, την ικανότητα του Trojan και την κλοπή δεδομένων από πελάτες που απευθύνονται σε μεγάλες Αυστριακές τράπεζες. Οι χάκερς έχουν συγχωνεύσει το ηλεκτρονικό “ψάρεμα” με τη διανομή του διαβόητου κακόβουλου λογισμικού Android που ονομάζεται “Marcher”, το οποίο δραστηριοποιείται από το 2013, δήλωσαν οι ερευνητές της Proofpoint.
Οι συγκεκριμένες επιθέσεις ξεκινούν με ένα τραπεζικό σύστημα πιστοποίησης phishing ακολουθούμενο από την εξαπάτηση του χρήστη για την εγκατάσταση του κακόβουλου λογισμικού Marcher. Οι χάκερς προσπαθούν στη συνέχεια να κλέψουν τα στοιχεία της πιστωτικής κάρτας του θύματος χρησιμοποιώντας banking Trojan.
Σύμφωνα με την Proofpoint, η τελευταία εκστρατεία Marcher στοχεύει πελάτες της Bank Austria, της Raiffeisen Meine Bank και της Sparkasse τουλάχιστον από τον Ιανουάριο του 2017.
Παρόλο που το κακόβουλο λογισμικό Marcher διανέμεται συνήθως μέσω SMS, αυτή η καμπάνια διανέμει τον κακόβουλο κώδικα μέσω ενός συνδέσμου σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου . Ο συντομευμένος σύνδεσμος Bit.ly οδηγεί το ανυποψίαστο θύμα σε μια σελίδα ηλεκτρονικού “ψαρέματος” (phishing) που φαίνεται να είναι μια νόμιμη τραπεζική σελίδα και τους παροτρύνει να αποκαλύψουν τα διαπιστευτήρια τραπεζικού λογαριασμού σύνδεσης (κωδικός πρόσβασης & username), τον αριθμό της πιστωτικής κάρτας και τον κωδικό PIN. Στη συνέχεια, ζητάει από τον χρήστη να συνδεθεί χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τον αριθμό τηλεφώνου.
Αυτές οι αποκτηθείσες λεπτομέρειες χρησιμοποιούνται στη συνέχεια στο επόμενο στάδιο της επίθεσης όταν οι φορείς απειλής ζητούν από το θύμα να κατεβάσει το “App Austria Security App” στο smartphone τους ούτως ώστε να μην διακινδυνεύσουν να μπλοκαριστεί ο λογαριασμός.
Το προειδοποιητικό μήνυμα, μεταφρασμένο στα Αυστριακά, αναφέρει:
“Το σύστημα έχει εντοπίσει ότι το App Austria Security App δεν είναι εγκατεστημένο στο smartphone σας. Λόγω των νέων οδηγιών της ΕΕ για τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες, η νέα εφαρμογή ασφαλείας της Bank Austria είναι υποχρεωτική για όλους τους πελάτες που διαθέτουν αριθμό κινητού τηλεφώνου στο σύστημά μας. Οπότε σας συνιστούμε να χρησιμοποιήστε την εφαρμογή μας προς αποφυγήν αποκλεισμού του λογαριασμού σας”.
Στη συνέχεια, ο χρήστης κατευθύνεται σε άλλη σύντομη διεύθυνση URL που ισχυρίζεται ότι οδηγεί στην εγκατάσταση της εφαρμογής. Ωστόσο, η εφαρμογή είναι στην πραγματικότητα μια έκδοση του banking Trojan που ονομάζεται ” BankAustria.apk ” που απαιτεί εκτεταμένες άδειες κατά τη διάρκεια της εγκατάστασης που επιτρέπουν τις κακές δραστηριότητες του κακόβουλου λογισμικού.
Ορισμένα από αυτά περιλαμβάνουν την εγγραφή και ανάγνωση περιεχομένου, την εξωτερική αποθήκευση, την πρόσβαση σε ακριβή τοποθεσία, τον πλήρη έλεγχο των μηνυμάτων SMS, την πραγματοποίηση τηλεφωνικής κλήσης χωρίς ειδοποιηθεί η διεπαφή χρήστη του τηλεφώνου, ώστε ο χρήστης να μην χρειαστεί να επιβεβαιώσει την κλήση, να διαβάσει τα δεδομένα επαφών, και ακόμα και το κλείδωμα της συσκευής.
Αφού εγκατασταθεί, η εφαρμογή θα τοποθετήσει ένα νόμιμο εικονίδιο στην αρχική οθόνη του τηλεφώνου, και πάλι χρησιμοποιώντας το banking Trojan “, ανέφεραν οι ερευνητές της Proofpoint. Εκτός από τη λειτουργία τραπεζικού Trojan, ζητά επίσης από τα θύματα τα στοιχεία της πιστωτικής τους κάρτας κάθε φορά που ανοίγουν εφαρμογές όπως το Google Play Store.
Οι φορείς απειλής ζητούν επίσης και άλλες προσωπικές πληροφορίες, συμπεριλαμβανομένης της ημερομηνίας γέννησης, της διεύθυνσης και του κωδικού πρόσβασης του χρήστη για να βεβαιωθούν ότι διαθέτουν όλες τις πληροφορίες που απαιτούνται για την επιτυχή εκμετάλλευση ή των κλοπών των διαπιστευτηρίων.
Σχεδόν 20.000 άνθρωποι έχουν χτυπηθεί ανελέητα από το Marcher malware, καταφέρνοντας οι χάκερς να αποκτήσουν τα προσωπικά τους δεδομένα και τα οικονομικά τους στοιχεία, σύμφωνα με την Proofpoint.
Οι ερευνητές έχουν προειδοποιήσει ότι οι απειλές που εκτείνονται τόσο σε επιτραπέζιους υπολογιστές, όσο και σε κινητές συσκευές, όπως smartphone ή tablet και είναι πιθανό να αυξηθεί η συχνότητα των επιθέσεων στο μέλλον.
“Καθώς ο κόσμος χρησιμοποιεί τις κινητές συσκευές για να αποκτήσει πρόσβαση στο web για να μπει στο e-mail του, υπάρχει ενδεχόμενο να ξεγελαστούν μέσω ηλεκτρονικού ψαρέματος (phishing) το οποίο επεκτείνεται σε κινητά περιβάλλοντα, ίσως μελλοντικά να δούμε μια μεγαλύτερη ποικιλία ολοκληρωμένων απειλών”, ανέφεραν οι ερευνητές. “Οι επιθέσεις με το Marcher είναι όλο και πιο εξελιγμένες, με τεκμηριωμένες περιπτώσεις που περιλαμβάνουν πολλαπλούς φορείς επίθεσης και ποικίλες στοχευμένες χρηματοπιστωτικές υπηρεσίες και πλατφόρμες επικοινωνίας”.
Οι χρήστες έχουν ενημερωθεί για να είναι προσεκτικοί σχετικά με τυχόν ύποπτους τομείς (domain name) και επιφυλακτικοί με οποιαδήποτε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα από τράπεζες που τους ζητούν να αποκαλύψουν τα εμπιστευτικά τους διαπιστευτήρια. Οι χρήστες κινητής τηλεφωνίας θα πρέπει επίσης να είναι σκεπτικοί κατά τη λήψη κάθε νέας εφαρμογής εκτός από τα νόμιμα καταστήματα εφαρμογών, ιδιαίτερα εκείνων που ζητούν εκτεταμένες άδειες που δεν σχετίζονται με την κύρια λειτουργία τους.