TsarBot Banking Trojas zirgs
Jaunatklātā Android ļaunprogrammatūra TsarBot ir kļuvusi par nozīmīgu kiberdraudu. Šī ļaunprogrammatūra, kas paredzēta vairāk nekā 750 lietojumprogrammām banku, finanšu, kriptovalūtas un e-komercijas sektoros, rada nopietnu risku lietotāju sensitīviem datiem.
Satura rādītājs
Kā TsarBot ievāc jūsu datus
TsarBot ir izsmalcināts banku Trojas zirgs, kas izmanto pārklājuma uzbrukumus, lai nozagtu bankas informāciju, pieteikšanās akreditācijas datus un kredītkaršu informāciju. Darbojoties vairākos reģionos, tostarp Ziemeļamerikā, Eiropā, Āzijas un Klusā okeāna reģionā un Tuvajos Austrumos, TsarBot izmanto maldinošu taktiku, lai nevainojami iefiltrētos ierīcēs un iegūtu datus.
Kā TsarBot izplatās: slazdi un triki
TsarBot galvenokārt izplatās caur ļaunprātīgām vietnēm, kas slēptas kā finanšu platformas. Ievērojams piemērs ir viltota Photon SOL decentralizētās tirdzniecības platformas versija, kas liek lietotājiem lejupielādēt krāpniecisku tirdzniecības lietotni. Turklāt pikšķerēšanas un sociālās inženierijas taktikai ir nozīmīga loma tās izplatīšanā.
Ļaunprātīga programmatūra, piemēram, TsarBot, bieži tiek iegulta šķietami nekaitīgā saturā, sasniedzot lietotājus, izmantojot īslaicīgas lejupielādes, ļaunprātīgu reklamēšanu, tiešsaistes taktiku, apšaubāmus lejupielādes avotus, surogātpasta e-pastus, viltus atjauninājumus un pirātisku saturu. Daži varianti var pat izplatīties, izmantojot vietējos tīklus un USB diskus, padarot tos vēl sarežģītāku saturēt.
Kā darbojas TsarBot: maldināšanas meistars
Pēc instalēšanas — bieži tas tiek maskēts kā Google Play pakalpojumi — TsarBot veic pārklājuma uzbrukumu, parādot viltotus pieteikšanās ekrānus virs likumīgām lietojumprogrammām. Tas ļauj tai savākt pieteikšanās akreditācijas datus, neradot aizdomas.
Papildus pārklājuma uzbrukumiem TsarBot izmanto progresīvas metodes, piemēram, ekrāna ierakstīšanu, inficēto ierīču tālvadību un bloķēšanas mehānismus, kas tver PIN un paroles, izmantojot viltotus bloķēšanas ekrānus. Tas var arī simulēt lietotāja darbības, piemēram, vilkšanu un pieskārienu, vienlaikus slēpjot savas darbības ar melnu pārklājuma ekrānu.
Command-and-Control (C&C) savienojums
TsarBot sazinās ar savu Command-and-Control (C&C) serveri, izmantojot WebSocket savienojumus, kas nodrošina reāllaika datu zādzību un krāpnieciskas darbības. Šie savienojumi ļauj ļaunprātīgai programmatūrai manipulēt ar ekrāniem, izpildīt žestus un mijiedarboties ar mērķprogrammām.
Ļaunprātīga programmatūra uztur atjauninātu mērķprogrammu sarakstu, tostarp Indijas, Francijas, Polijas un Austrālijas banku platformas, kriptovalūtu tirdzniecību un sociālo mediju lietojumprogrammas. Kad lietotāji mijiedarbojas ar šīm lietojumprogrammām, TsarBot pārklāj viltus pikšķerēšanas lapu, lai iegūtu akreditācijas datus, pārsūtot savāktos datus atpakaļ uz savu C&C serveri.
Kā būt drošībā no TsarBot
Lai aizsargātos pret tādiem draudiem kā TsarBot, kiberdrošības eksperti iesaka:
- Izvairieties no neuzticamiem lietotņu avotiem un trešo pušu veikaliem
- Esiet piesardzīgs pret pikšķerēšanas saitēm un aizdomīgām vietnēm
- Google Play Protect iespējošana, lai nodrošinātu papildu drošību
- Regulāra ierīču atjaunināšana, lai novērstu ievainojamības
- Atteikšanās no pirātiskas vai uzlauztas programmatūras lejupielādes
Tā kā Android banku Trojas zirgi kļūst arvien sarežģītāki, lietotājiem ir jāsaglabā modrība un jāveic aktīvi drošības pasākumi, lai aizsargātu savus datus.
