TsarBot bančni trojanec
Novo odkrita zlonamerna programska oprema za Android, TsarBot, se je izkazala za pomembno kibernetsko grožnjo. Ta zlonamerna programska oprema, ki cilja na več kot 750 aplikacij v sektorjih bančništva, financ, kriptovalut in e-trgovine, predstavlja resno tveganje za občutljive podatke uporabnikov.
Kazalo
Kako TsarBot zbira vaše podatke
TsarBot je sofisticiran bančni trojanec, ki uporablja prekrivne napade za krajo bančnih podatkov, poverilnic za prijavo in podatkov o kreditni kartici. TsarBot, ki deluje v več regijah – vključno s Severno Ameriko, Evropo, Azijo-Pacifikom in Bližnjim vzhodom – uporablja zavajajoče taktike za infiltracijo v naprave in nemoteno pridobivanje podatkov.
Kako se TsarBot širi: pasti in triki
TsarBot se v prvi vrsti širi prek zlonamernih spletnih mest, prikritih kot finančne platforme. Pomemben primer vključuje lažno različico decentralizirane trgovalne platforme Photon SOL, ki uporabnike zavede v prenos goljufive aplikacije za trgovanje. Poleg tega imata lažno predstavljanje in taktika socialnega inženiringa pomembno vlogo pri njegovi distribuciji.
Zlonamerna programska oprema, kot je TsarBot, je pogosto vdelana v navidezno neškodljivo vsebino in uporabnike doseže z naključnimi prenosi, zlonamernim oglaševanjem, spletnimi taktikami, dvomljivimi viri prenosov, vsiljeno e-pošto, lažnimi posodobitvami in piratsko vsebino. Nekatere različice se lahko celo same širijo prek lokalnih omrežij in pogonov USB, zaradi česar jih je še težje zadržati.
Kako deluje TsarBot: Mojster prevare
Ko je TsarBot nameščen – pogosto preoblečen v storitve Google Play – izvede prekrivni napad s prikazovanjem lažnih prijavnih zaslonov nad zakonitimi aplikacijami. To mu omogoča zbiranje poverilnic za prijavo, ne da bi pri tem vzbudil sum.
Poleg prekrivnih napadov uporablja TsarBot napredne tehnike, kot so snemanje zaslona, daljinsko upravljanje okuženih naprav in mehanizmi za zaklepanje, ki zajamejo kode PIN in gesla z lažnimi zaklenjenimi zasloni. Prav tako lahko simulira uporabniška dejanja, kot je drsenje in tapkanje, medtem ko svoje dejavnosti prikrije s črnim prekrivnim zaslonom.
Povezava za vodenje in nadzor (C&C).
TsarBot komunicira s svojim strežnikom Command-and-Control (C&C) prek povezav WebSocket, ki omogočajo krajo podatkov in goljufive dejavnosti v realnem času. Te povezave omogočajo zlonamerni programski opremi, da manipulira z zasloni, izvaja poteze in komunicira s ciljnimi aplikacijami.
Zlonamerna programska oprema vzdržuje posodobljen seznam ciljnih aplikacij, vključno z bančnimi platformami iz Indije, Francije, Poljske in Avstralije, trgovanjem s kriptovalutami in aplikacijami družbenih medijev. Ko uporabniki komunicirajo s temi aplikacijami, TsarBot prekrije lažno stran z lažnim predstavljanjem, da pridobi poverilnice in prenese zbrane podatke nazaj na svoj C&C strežnik.
Kako ostati varen pred TsarBotom
Za zaščito pred grožnjami, kot je TsarBot, strokovnjaki za kibernetsko varnost priporočajo:
- Izogibanje nezaupljivim virom aplikacij in trgovinam tretjih oseb
- Bodite previdni pri lažnih povezavah in sumljivih spletnih mestih
- Omogočanje Google Play Protect za dodatno varnost
- Redno posodabljanje naprav za popravljanje ranljivosti
- Izogibajte se nalaganju piratske ali zlomljene programske opreme
Ker bančni trojanci Android postajajo vse bolj izpopolnjeni, morajo uporabniki ostati pozorni in sprejeti proaktivne varnostne ukrepe za zaščito svojih podatkov.
