Elibomi Android злонамерен софтуер

До Mezo през Malware, Phishingг

Превод на:

Ново семейство фишинг злонамерен софтуер за Android е забелязано да се използва в атаки на живо от киберпрестъпници. Заплахата е открита от изследователите, които я наричат Елибоми. Заплахата разчита на тактики за социално инженерство и фалшиви приложения за Android, за да събира информация от жертвите си и да я ексфилтрира до сървъри под контрола на хакерите.

Първа атака на Elibomi

Първата атака, свързана със заплахата Elibomi, се случи в края на 2020 г. Участниците в заплахата доставиха фалшиво приложение за „ИТ сертификат“ на устройствата на жертвите си. Оръжейното приложение имитира модул за управление на ИТ сертификати, който претендира да валидира устройството с несъществуващ сървър. Приложението иска да получи разрешения за SMS, както и администраторски права. Последното вероятно е злоупотребено, за да затрудни всякакви опити за премахване. Докато жертвите се представят с измислено „Сканиране за сигурност“ на заден план, приложението събира чувствителна информация като имейли, телефонни номера, съхранени SMS/MMS съобщения и др.

Втора атака на Elibomi

По -новата кампания, която разгърна заплахата Elibomi, беше насочена към индийските данъкоплатци. Хакерите смениха самоличността на фалшивото си приложение и сега то беше представено като заявление за подаване на данъци. Атаката започва с разпространението на целеви SMS съобщения, за които се твърди, че са от Департамента за данъци върху доходите на Индия. За да изглеждат по -легитимни, съобщенията за примамки споменават имената на целевите лица. Целта на този етап е да накарате жертвата да кликне върху предоставената връзка под фалшивия предлог, че е имало спешна актуализация на възстановяването на данъка върху дохода.

Повредените връзки водят до фишинг страница, която отново твърди, че принадлежи на индийския отдел за данъчно облагане. Страницата за фишинг насочва потребителите да изтеглят тайно приложението, което носи заплахата Elibomi. Пакетът на заплашващото приложение е кръстен по модела - произволна дума.случайна низка.мобилна. Изследователите на infosec откриха няколко версии на фалшивото приложение, които да бъдат разпространявани, като някои показват само фалшива страница за вход, докато други също притежават опция за фалшива регистрация и искания за възстановяване на данъци.

Заплахата Elibomi отново улавя чувствителни данни от компрометираното устройство, както и всяка финансова информация, която успява да извлече от жертвите си. Той може да получава имейли, телефонни номера, SMS/MMS съобщения, финансови данни и лична информация. Странно е, че събраните данни бяха качени на сървъри, които бяха отворени за интернет, излагайки информацията на жертвата пред обществеността ефективно. Хакерите може да са забелязали, че грешката им е открита и събраната информация вече не е налична.