Компания Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян для Android под названием TsarBot, который использует оверлейные атаки для атаки на более чем 750 банковских, финансовых, криптовалютных и электронной коммерции приложения по всему миру.
Описание
Троянец распространяется через фишинговые сайты, которые маскируются под легитимные финансовые платформы, и устанавливается через дроппер, который замаскирован под Google Play Services. TsarBot использует оверлейные атаки для кражи банковских реквизитов, данных кредитных карт и учетных данных, отображая поддельные страницы входа в систему поверх легитимных приложений. Он также может записывать и удаленно контролировать экран, осуществляя мошенничество путем имитации действий пользователя. Троянец связывается со своим C&C-сервером через WebSocket, получая команды, отправляя украденные данные и выполняя мошеннические действия на устройстве.
Фишинговые сайты, распространяющие TsarBot, выдают себя за легитимные организации, и их установленные на целевое устройство приложения-дропперы развертывают сам троянец. TsarBot также маскируется под приложение Google Play Service и не отображает значок пусковой установки. После установки, троянец предлагает включить службы Accessibility, чтобы получить полный контроль над устройством.
Вредоносная программы TsarBot способна записывать экран, манипулировать им и имитировать действия пользователя. Она также использует методы захвата замков устройства, кейлоггинга и перехвата SMS-сообщений. Фишинговые сайты, распространяющие TsarBot, могут выдаваться за популярные финансовые платформы, такие как Photon Sol. Для распространения троянца на устройство жертве предлагается загрузить приложение для начала торговли, хотя подобная возможность на легитимных сайтах отсутствует.
TsarBot устанавливается через дроппер, который сохраняет APK-файл вредоносной программы в папке «res/raw». После установки троянец установит сокет-соединение с C&C-сервером через WebSocket, используя различные порты для получения команд, отправки захваченного содержимого экрана, получения различных наборов команд и отправки данных на сервер.
Технические детали и журналы на русском языке, найденные во вредоносном приложении, указывают на вероятное российское происхождение злоумышленника, который разработал TsarBot. Компания Cyble продолжает мониторить и анализировать этот новый банковский троянец, чтобы предупредить о его распространении и защитить пользователей от возможных угроз.
Indicators of Compromise
IPv4
- 95.181.173.76
URLs
- https://cashraven.online/
- https://cashraven.online/CashRaven.apk
- https://solphoton.app/
- https://solphoton.io/
- https://solphoton.io/PhotonSol.apk
- https://xdjhgfgjh.run/injects/html/
- https://xdjhgfgjh.run/injects/htmlPIN/android.Passcode.html
- https://xdjhgfgjh.run/injects/htmlPIN/android.Pattern.html
- https://xdjhgfgjh.run/injects/htmlPIN/android.PinCode.html
- https://xdjhgfgjh.run/injects/ServiceName.txt
SHA256
- 0e8569ec252caf58f72c43358472f22786cd32685d23c882b4b2e38409cf2e47
- 13c30f24504cb83c8f90747a51aebc0f8fb7ed8c41fb87419b7300376cfbd7f2
- 1a41ae507d6f67385e2e10f106cedf80632f1eb42b864e722ad4c2e0d2b91aca
- 291f807cc1d9a26a04da128f3de6d136fd0974a66c38694d0559ca884bd0d359
- 2c4574fb07eb254e845eb86f76d8e353d13d671ba71b6e79c1e55485664d666c
- 73a6ae8331cd01dd59b8c526df2a90771dcf9d74048dc7ea51d75a3beacbd95b
- 8d2e3f46c71ba5f3dcb4e7a0359693765bf4d8e0152ad82906c42d9f7573c88f
- 957df5b8998780c50ee630ad70926bdd4ee83748ee89c3a7916e8eace9b95d88
