Hydra Banking Trojan

Els actors de l'amenaça estan utilitzant un troià bancari d'Android invasiu anomenat Hydra per apuntar-se als clients de Commerzbank, un dels bancs més grans d'Alemanya, concretament. Els ciberdelinqüents estaven estenent la seva eina amenaçadora sota l'aparença d'un gestor de documents PDF. L'aplicació falsa fins i tot va poder evitar els mecanismes defensius de Google Play Store durant un temps, però des de llavors s'ha eliminat. Tot i així, l'amenaça es distribueix a botigues d'aplicacions de tercers, com ara apkaio.com i apkcombo.com. A més, els usuaris que ja hagin descarregat l'aplicació hauran de netejar manualment els seus dispositius, preferiblement amb una solució professional anti-malware.

Un cop activat al dispositiu Android de l'usuari, Hydra demanarà més de 20 permisos d'ampli abast. Si se li concedeix, l'amenaça podrà realitzar nombroses accions invasives al dispositiu. Mentre s'executa en silenci en segon pla, Hydra podria controlar o fins i tot interceptar qualsevol dada entrant o sortint. L'amenaça pot modificar la configuració de Wi-Fi, accedir a la llista de contactes del dispositiu violat i modificar qualsevol emmagatzematge extern connectat a ell. Hydra pot iniciar trucades telefòniques, enviar missatges SMS, instal·lar aplicacions addicionals i mostrar alertes del sistema. Si està completament establert, el troià bancari Hydra pot fer captures de pantalla i recopilar contrasenyes d'un sol ús, així com el PIN utilitzat per desbloquejar la pantalla del dispositiu.

Per passar desapercebut, el programari maliciós amaga la seva pròpia icona i desactiva Play Protect al dispositiu. A més, per emmascarar el seu trànsit anormal, Hydra utilitza la comunicació TOR xifrada.