Troià bancari TsarBot

Un programari maliciós d'Android recentment descobert, TsarBot, ha sorgit com una amenaça cibernètica important. Aquest programari maliciós, dirigit a més de 750 aplicacions als sectors bancari, financer, criptomoneda i comerç electrònic, suposa un greu risc per a les dades sensibles dels usuaris.

Com TsarBot recull les vostres dades

TsarBot és un troià bancari sofisticat que utilitza atacs de superposició per robar dades bancàries, credencials d'inici de sessió i informació de la targeta de crèdit. Operant a diverses regions, com ara Amèrica del Nord, Europa, Àsia-Pacífic i Orient Mitjà, TsarBot utilitza tàctiques enganyoses per infiltrar-se en dispositius i extreure dades sense problemes.

Com es propaga TsarBot: trampes i trucs

TsarBot es propaga principalment a través de llocs web maliciosos disfressats de plataformes financeres. Un exemple notable inclou una versió falsa de la plataforma comercial descentralitzada Photon SOL, que enganya els usuaris perquè baixin una aplicació de comerç fraudulenta. A més, les tàctiques de pesca i enginyeria social tenen un paper important en la seva distribució.

El programari maliciós com TsarBot sovint s'incrusta en contingut aparentment inofensiu, arribant als usuaris mitjançant descàrregues automàtiques, publicitat maliciosa, tàctiques en línia, fonts de descàrrega dubtoses, correus brossa, actualitzacions falses i contingut piratejat. Algunes variants fins i tot es poden autopropagar a través de xarxes locals i unitats USB, fent-les encara més difícils de contenir.

Com funciona TsarBot: un mestre de l’engany

Un cop instal·lat, sovint disfressat com a serveis de Google Play, TsarBot executa un atac de superposició mostrant pantalles d'inici de sessió falses sobre aplicacions legítimes. Això li permet recollir les credencials d'inici de sessió sense aixecar sospita.

Més enllà dels atacs de superposició, TsarBot utilitza tècniques avançades com ara l'enregistrament de pantalla, el control remot de dispositius infectats i mecanismes de captura de bloqueig que capturen PIN i contrasenyes mitjançant pantalles de bloqueig falses. També pot simular accions de l'usuari com lliscar i tocar mentre amaga les seves activitats amb una pantalla de superposició negra.

La connexió de comandament i control (C&C).

TsarBot es comunica amb el seu servidor de comandament i control (C&C) mitjançant connexions WebSocket, que permeten robatori de dades en temps real i activitats fraudulentes. Aquestes connexions permeten al programari maliciós manipular pantalles, executar gestos i interactuar amb aplicacions dirigides.

El programari maliciós manté una llista actualitzada d'aplicacions dirigides, incloses les plataformes bancàries de l'Índia, França, Polònia i Austràlia, el comerç de criptomoneda i les aplicacions de xarxes socials. Quan els usuaris interactuen amb aquestes aplicacions, TsarBot superposa una pàgina de pesca falsa per recollir credencials, transmetent les dades recollides al seu servidor C&C.

Com mantenir-se a salvo de TsarBot

Per protegir-se d'amenaces com TsarBot, els experts en ciberseguretat recomanen:

• Evitar fonts d'aplicacions i botigues de tercers no fiables
• Ser prudent amb els enllaços de pesca i els llocs web sospitosos
• S'està activant Google Play Protect per a més seguretat
• Actualització periòdica dels dispositius per corregir vulnerabilitats
• Abstenir-se de descarregar programari piratejat o craquejat

A mesura que els troians bancaris d'Android es tornen més sofisticats, els usuaris han de mantenir-se vigilants i prendre mesures de seguretat proactives per salvaguardar les seves dades.