Банков троян TsarBot
Новооткрит зловреден софтуер за Android, TsarBot, се очертава като значителна кибер заплаха. Насочен към над 750 приложения в секторите на банкирането, финансите, криптовалутите и електронната търговия, този зловреден софтуер представлява сериозен риск за чувствителните данни на потребителите.
Съдържание
Как TsarBot събира вашите данни
TsarBot е усъвършенстван банков троянски кон, който използва наслагващи атаки за кражба на банкови данни, идентификационни данни за вход и информация за кредитни карти. Работейки в множество региони – включително Северна Америка, Европа, Азиатско-Тихоокеанския регион и Близкия изток – TsarBot използва измамни тактики, за да проникне в устройства и да извлече безпроблемно данни.
Как се разпространява TsarBot: капани и трикове
TsarBot се разпространява предимно чрез злонамерени уебсайтове, маскирани като финансови платформи. Забележителен пример включва фалшива версия на платформата за децентрализирана търговия Photon SOL, която подмамва потребителите да изтеглят измамно приложение за търговия. Освен това тактиките за фишинг и социално инженерство играят важна роля в разпространението му.
Злонамерен софтуер като TsarBot често е вграден в привидно безобидно съдържание, достигайки до потребителите чрез изтегляния, злонамерени реклами, онлайн тактики, съмнителни източници за изтегляне, имейли със спам, фалшиви актуализации и пиратско съдържание. Някои варианти дори могат да се разпространяват сами през локални мрежи и USB устройства, което ги прави още по-трудни за задържане.
Как работи TsarBot: Майстор на измамата
Веднъж инсталиран – често маскиран като Google Play Services – TsarBot изпълнява наслагваща атака, като показва фалшиви екрани за влизане върху легитимни приложения. Това му позволява да събира идентификационни данни за вход, без да предизвиква подозрение.
Отвъд атаките с наслагване, TsarBot използва усъвършенствани техники като запис на екрана, дистанционно управление на заразени устройства и механизми за заключване, които улавят ПИН кодове и пароли, използвайки фалшиви заключени екрани. Той може също така да симулира потребителски действия като плъзгане и докосване, като същевременно прикрива своите дейности с черен екран с наслагване.
Командно-контролна (C&C) връзка
TsarBot комуникира със своя Command-and-Control (C&C) сървър чрез WebSocket връзки, които позволяват кражба на данни в реално време и измамни дейности. Тези връзки позволяват на злонамерения софтуер да манипулира екрани, да изпълнява жестове и да взаимодейства с целеви приложения.
Зловреден софтуер поддържа актуализиран списък с целеви приложения, включително банкови платформи от Индия, Франция, Полша и Австралия, търговия с криптовалута и приложения за социални медии. Когато потребителите взаимодействат с тези приложения, TsarBot наслагва фалшива фишинг страница, за да събере идентификационни данни, предавайки събраните данни обратно на своя C&C сървър.
Как да се предпазите от TsarBot
За защита срещу заплахи като TsarBot, експертите по киберсигурност препоръчват:
- Избягване на ненадеждни източници на приложения и магазини на трети страни
- Внимавайте с фишинг връзки и подозрителни уебсайтове
- Активиране на Google Play Protect за допълнителна сигурност
- Редовно актуализиране на устройства за коригиране на уязвимости
- Въздържане от изтегляне на пиратски или кракнат софтуер
Тъй като банковите троянски коне на Android стават все по-сложни, потребителите трябва да останат бдителни и да предприемат проактивни мерки за сигурност, за да защитят своите данни.
