Банківський троян TsarBot
Нещодавно виявлена шкідлива програма для Android, TsarBot, стала значною кіберзагрозою. Це зловмисне програмне забезпечення, націлене на понад 750 додатків у секторах банківської справи, фінансів, криптовалюти та електронної комерції, створює серйозний ризик для конфіденційних даних користувачів.
Зміст
Як TsarBot збирає ваші дані
TsarBot — це складний банківський троян, який використовує накладні атаки для викрадення банківських реквізитів, облікових даних і даних кредитної картки. Працюючи в багатьох регіонах, зокрема в Північній Америці, Європі, Азіатсько-Тихоокеанському регіоні та на Близькому Сході, TsarBot використовує оманливу тактику для проникнення в пристрої та безперешкодного вилучення даних.
Як поширюється TsarBot: пастки та хитрощі
TsarBot переважно поширюється через шкідливі веб-сайти, замасковані під фінансові платформи. Примітним прикладом є підроблена версія децентралізованої торгової платформи Photon SOL, яка обманом змушує користувачів завантажити шахрайську торгову програму. Крім того, значну роль у його розповсюдженні відіграють тактики фішингу та соціальної інженерії.
Зловмисне програмне забезпечення, таке як TsarBot, часто вбудовується в, здавалося б, нешкідливий вміст, охоплюючи користувачів через випадкові завантаження, шкідливу рекламу, онлайн-тактики, сумнівні джерела завантажень, спам-повідомлення, підроблені оновлення та піратський вміст. Деякі варіанти можуть навіть самостійно поширюватися через локальні мережі та USB-накопичувачі, що робить їх ще складнішим утримувати.
Як працює TsarBot: майстер обману
Після встановлення (часто замаскованого під сервіси Google Play) TsarBot здійснює атаку накладання, відображаючи підроблені екрани входу поверх легальних програм. Це дозволяє збирати облікові дані для входу, не викликаючи підозр.
Крім атак накладення, TsarBot використовує передові методи, такі як запис екрана, дистанційне керування зараженими пристроями та механізми захоплення замків, які захоплюють PIN-коди та паролі за допомогою підроблених екранів блокування. Він також може імітувати дії користувача, як-от гортання та торкання, приховуючи свою діяльність чорним накладним екраном.
З’єднання «Командування та управління» (C&C).
TsarBot спілкується зі своїм сервером командування та керування (C&C) через з’єднання WebSocket, що дозволяє в режимі реального часу викрадати дані та шахрайські дії. Ці підключення дозволяють зловмисному програмному забезпеченню маніпулювати екранами, виконувати жести та взаємодіяти з цільовими програмами.
Зловмисне програмне забезпечення підтримує оновлений список цільових програм, включаючи банківські платформи з Індії, Франції, Польщі та Австралії, торгівлю криптовалютою та програми соціальних мереж. Коли користувачі взаємодіють із цими програмами, TsarBot накладає підроблену фішингову сторінку, щоб отримати облікові дані, передаючи зібрані дані назад на свій C&C сервер.
Як захиститися від TsarBot
Щоб захиститися від таких загроз, як TsarBot, експерти з кібербезпеки рекомендують:
- Уникайте ненадійних джерел програм і сторонніх магазинів
- Будьте обережні з фішинговими посиланнями та підозрілими веб-сайтами
- Увімкнення Google Play Protect для додаткової безпеки
- Регулярне оновлення пристроїв для виправлення вразливостей
- Утримання від завантаження піратського або зламаного програмного забезпечення
Оскільки банківські трояни Android стають все більш досконалими, користувачі повинні залишатися пильними та вживати профілактичних заходів безпеки, щоб захистити свої дані.
