Bankový trójsky kôň TsarBot
Novoobjavený malvér pre Android, TsarBot, sa ukázal ako významná kybernetická hrozba. Tento malvér, ktorý sa zameriava na viac ako 750 aplikácií v sektoroch bankovníctva, financií, kryptomien a elektronického obchodu, predstavuje vážne riziko pre citlivé údaje používateľov.
Obsah
Ako TsarBot zbiera vaše dáta
TsarBot je sofistikovaný bankový trójsky kôň, ktorý využíva prekryvné útoky na krádež bankových údajov, prihlasovacích údajov a informácií o kreditných kartách. TsarBot, ktorý pôsobí vo viacerých regiónoch – vrátane Severnej Ameriky, Európy, Ázie a Tichomoria a Stredného východu – používa klamlivé taktiky na infiltráciu zariadení a bezproblémové získavanie údajov.
Ako sa TsarBot šíri: pasce a triky
TsarBot sa primárne šíri prostredníctvom škodlivých webových stránok maskovaných ako finančné platformy. Pozoruhodným príkladom je falošná verzia decentralizovanej obchodnej platformy Photon SOL, ktorá oklame používateľov, aby si stiahli podvodnú obchodnú aplikáciu. Okrem toho, phishing a taktika sociálneho inžinierstva zohrávajú významnú úlohu pri jeho distribúcii.
Malvér ako TsarBot je často zabudovaný do zdanlivo neškodného obsahu a dostáva sa k používateľom prostredníctvom sťahovania z auta, škodlivej inzercie, online taktiky, pochybných zdrojov sťahovania, spamových e-mailov, falošných aktualizácií a pirátskeho obsahu. Niektoré varianty sa môžu dokonca šíriť prostredníctvom lokálnych sietí a jednotiek USB, vďaka čomu je ich obsah ešte náročnejší.
Ako TsarBot funguje: Majster podvodu
Po inštalácii – často maskovanej ako služby Google Play – vykoná TsarBot prekryvný útok zobrazením falošných prihlasovacích obrazoviek na legitímnych aplikáciách. To mu umožňuje zbierať prihlasovacie údaje bez vzbudzovania podozrenia.
Okrem prekrývajúcich útokov využíva TsarBot pokročilé techniky, ako je nahrávanie obrazovky, diaľkové ovládanie infikovaných zariadení a mechanizmy na zachytenie zámkov, ktoré zachytávajú kódy PIN a heslá pomocou falošných uzamknutých obrazoviek. Môže tiež simulovať akcie používateľa, ako je potiahnutie prstom a poklepanie, pričom svoje aktivity skryje pomocou čiernej prekrývajúcej obrazovky.
Spojenie Command-and-Control (C&C).
TsarBot komunikuje so svojím serverom Command-and-Control (C&C) prostredníctvom pripojení WebSocket, ktoré umožňujú krádeže údajov v reálnom čase a podvodné aktivity. Tieto pripojenia umožňujú malvéru manipulovať s obrazovkami, vykonávať gestá a interagovať s cielenými aplikáciami.
Malvér udržiava aktualizovaný zoznam cielených aplikácií vrátane bankových platforiem z Indie, Francúzska, Poľska a Austrálie, obchodovania s kryptomenami a aplikácií sociálnych médií. Keď používatelia interagujú s týmito aplikáciami, TsarBot prekryje falošnú phishingovú stránku, aby získal poverenia a preniesol zhromaždené údaje späť na svoj server C&C.
Ako zostať v bezpečí pred TsarBot
Na ochranu pred hrozbami, ako je TsarBot, odborníci na kybernetickú bezpečnosť odporúčajú:
- Vyhnite sa nedôveryhodným zdrojom aplikácií a obchodom tretích strán
- Dávajte si pozor na phishingové odkazy a podozrivé webové stránky
- Povolenie služby Google Play Protect na zvýšenie bezpečnosti
- Pravidelne aktualizujte zariadenia na opravu zraniteľností
- Zdržať sa sťahovania pirátskeho alebo cracknutého softvéru
Keďže trójske kone Android banking sú čoraz sofistikovanejšie, používatelia musia zostať ostražití a prijať proaktívne bezpečnostné opatrenia na ochranu svojich údajov.
