TsarBot Banking Troijalainen
Äskettäin löydetty Android-haittaohjelma, TsarBot, on noussut merkittäväksi kyberuhkaksi. Tämä haittaohjelma on kohdistettu yli 750 sovellukseen pankki-, rahoitus-, kryptovaluutta- ja verkkokaupan aloilla ja aiheuttaa vakavan riskin käyttäjien arkaluontoisille tiedoille.
Sisällysluettelo
Kuinka TsarBot kerää tietosi
TsarBot on kehittynyt pankkitroijalainen, joka käyttää peittohyökkäyksiä pankkitietojen, kirjautumistietojen ja luottokorttitietojen varastamiseksi. Toimiessaan useilla alueilla – kuten Pohjois-Amerikassa, Euroopassa, Aasian ja Tyynenmeren alueella ja Lähi-idässä – TsarBot käyttää petollisia taktiikoita tunkeutuakseen laitteisiin ja poimiakseen tietoja saumattomasti.
Kuinka TsarBot leviää: ansoja ja temppuja
TsarBot leviää ensisijaisesti haitallisten verkkosivustojen kautta, jotka on naamioitu rahoitusalustoiksi. Merkittävä esimerkki on Photon SOL hajautetun kaupankäyntialustan väärennetty versio, joka huijaa käyttäjiä lataamaan vilpillisen kaupankäyntisovelluksen. Lisäksi tietojenkalastelu- ja social engineering-taktiikoilla on merkittävä rooli sen jakelussa.
Haittaohjelmat, kuten TsarBot, on usein upotettu näennäisesti vaarattomaan sisältöön, ja ne tavoittavat käyttäjät ohimenevien latausten, haittaohjelmien, online-taktiikkojen, arveluttavien latauslähteiden, roskapostiviestien, väärennettyjen päivitysten ja piraattisisällön kautta. Jotkut versiot voivat jopa levitä itse paikallisten verkkojen ja USB-asemien kautta, mikä tekee niistä entistä haastavampaa.
Kuinka TsarBot toimii: petoksen mestari
Asennuksen jälkeen – usein naamioituna Google Play Palveluiksi – TsarBot suorittaa peittohyökkäyksen näyttämällä vääriä kirjautumisnäyttöjä laillisten sovellusten päällä. Näin se voi kerätä kirjautumistiedot ilman epäilyksiä.
Peittohyökkäysten lisäksi TsarBot käyttää kehittyneitä tekniikoita, kuten näytön tallennusta, tartunnan saaneiden laitteiden kauko-ohjausta ja lukitusmekanismeja, jotka sieppaavat PIN-koodit ja salasanat väärennetyillä lukitusnäytöillä. Se voi myös simuloida käyttäjän toimintoja, kuten pyyhkäisemistä ja napauttamista, samalla kun se piilottaa toimintansa mustalla peittonäytöllä.
Command-and-Control (C&C) -yhteys
TsarBot kommunikoi Command-and-Control (C&C) -palvelimensa kanssa WebSocket-yhteyksien kautta, jotka mahdollistavat reaaliaikaisen tietovarkauden ja vilpillisen toiminnan. Näiden yhteyksien avulla haittaohjelmat voivat manipuloida näyttöjä, suorittaa eleitä ja olla vuorovaikutuksessa kohdistettujen sovellusten kanssa.
Haittaohjelma ylläpitää päivitettyä luetteloa kohdistetuista sovelluksista, mukaan lukien pankkialustoja Intiasta, Ranskasta, Puolasta ja Australiasta, kryptovaluuttakauppaa ja sosiaalisen median sovelluksia. Kun käyttäjät ovat vuorovaikutuksessa näiden sovellusten kanssa, TsarBot peittää väärennetyn tietojenkalastelusivun kerätäkseen tunnistetiedot ja lähettää kerätyt tiedot takaisin C&C-palvelimelleen.
Kuinka pysyä turvassa TsarBotilta
TsarBotin kaltaisia uhkia vastaan suojautumiseen kyberturvallisuusasiantuntijat suosittelevat:
- Vältä epäluotettavia sovelluslähteitä ja kolmannen osapuolen kauppoja
- Varo tietojenkalastelulinkkejä ja epäilyttäviä verkkosivustoja
- Google Play Protectin käyttöönotto lisää turvallisuutta
- Päivitetään laitteita säännöllisesti haavoittuvuuksien korjaamiseksi
- Pidättäytyminen lataamasta piraattisia tai krakattuja ohjelmistoja
Android-pankkitroijalaisten kehittyessä käyttäjien on pysyttävä valppaina ja ryhdyttävä ennakoiviin turvatoimiin tietojensa suojaamiseksi.
