TsarBot Banking Trooja
Äsja avastatud Androidi pahavara TsarBot on tõusnud olulise küberohuna. See pahavara, mis sihib enam kui 750 rakendust pangandus-, finants-, krüptovaluuta- ja e-kaubanduse sektorites, kujutab endast tõsist ohtu kasutajate tundlikele andmetele.
Sisukord
Kuidas TsarBot teie andmeid kogub
TsarBot on keerukas pangandustroojalane, mis kasutab ülekatterünnakuid, et varastada pangaandmeid, sisselogimismandaate ja krediitkaarditeavet. Mitmes piirkonnas – sealhulgas Põhja-Ameerikas, Euroopas, Aasia ja Vaikse ookeani piirkonnas ning Lähis-Idas – tegutsev TsarBot kasutab seadmetesse imbumiseks ja andmete sujuvaks väljavõtmiseks petlikku taktikat.
Kuidas TsarBot levib: püünised ja trikid
TsarBot levib peamiselt pahatahtlike veebisaitide kaudu, mis on maskeeritud finantsplatvormidena. Märkimisväärne näide on Photon SOL detsentraliseeritud kauplemisplatvormi võltsversioon, mis meelitab kasutajaid petturliku kauplemisrakenduse alla laadima. Lisaks mängivad selle levitamisel olulist rolli andmepüügi- ja sotsiaalse manipuleerimise taktikad.
Pahavara, nagu TsarBot, on sageli manustatud näiliselt kahjutusse sisusse, jõudes kasutajateni automaatse allalaadimise, pahatahtliku reklaami, võrgutaktika, kahtlaste allalaadimisallikate, rämpsposti, võltsitud värskenduste ja piraatsisu kaudu. Mõned variandid võivad isegi kohalike võrkude ja USB-draivide kaudu ise levida, muutes nende hoidmise veelgi keerulisemaks.
Kuidas TsarBot töötab: pettuse meister
Kui TsarBot on installitud (sageli maskeeritud kui Google Play teenused), teostab ülekatterünnaku, kuvades seaduslike rakenduste kohal võltsitud sisselogimisekraanid. See võimaldab tal koguda sisselogimismandaate ilma kahtlust tekitamata.
Lisaks ülekatterünnakutele kasutab TsarBot täiustatud tehnikaid, nagu ekraani salvestamine, nakatunud seadmete kaugjuhtimine ja lukustusmehhanismid, mis püüavad PIN-koodid ja paroolid võltsitud lukustuskuvade abil. Samuti saab see simuleerida kasutaja toiminguid, nagu pühkimine ja koputamine, varjates samal ajal oma tegevusi musta ülekattega ekraaniga.
Command-and-Control (C&C) ühendus
TsarBot suhtleb oma Command-and-Control (C&C) serveriga WebSocketi ühenduste kaudu, mis võimaldavad reaalajas andmete vargusi ja pettusi. Need ühendused võimaldavad pahavaral ekraane manipuleerida, žeste sooritada ja sihitud rakendustega suhelda.
Pahavara haldab uuendatud loendit sihitud rakendustest, sealhulgas India, Prantsusmaa, Poola ja Austraalia pangaplatvormid, krüptovaluutaga kauplemine ja sotsiaalmeedia rakendused. Kui kasutajad nende rakendustega suhtlevad, katab TsarBot mandaatide kogumiseks võltsitud andmepüügilehe, edastades kogutud andmed tagasi oma C&C serverisse.
Kuidas TsarBoti eest kaitsta
TsarBoti sarnaste ohtude eest kaitsmiseks soovitavad küberturvalisuse eksperdid:
- Ebausaldusväärsete rakenduste allikate ja kolmandate osapoolte poodide vältimine
- Olge andmepüügilinkide ja kahtlaste veebisaitide suhtes ettevaatlik
- Turvalisuse suurendamiseks lubage Google Play Protect
- Seadmete korrapärane värskendamine turvaaukude parandamiseks
- Piraat- või krakitud tarkvara allalaadimisest hoidumine
Kuna Androidi pangandustroojalased muutuvad keerukamaks, peavad kasutajad olema valvsad ja võtma oma andmete kaitsmiseks ennetavaid turvameetmeid.
