ThiefBot

ThiefBot je bankovní trojan Android, který je určen především k cílení na uživatele v Turecku. Tato konkrétní malware hrozba je inzerována a prodávána v podzemních fórech hackerů.

Aby se ThiefBot nezdál příliš podezřelý, maskuje se jako aplikace obchodu Google Play, která po instalaci začne okamžitě žádat o všechny typy oprávnění. ThiefBot chce, aby mu uživatelé umožnili číst, odesílat a přijímat zprávy SMS a také přistupovat k úložišti zařízení, kontaktům v telefonu a fotoaparátu. ThiefBot také požaduje povolení k zapnutí služby usnadnění přístupu na napadeném zařízení. Pokud je úspěšný, ThiefBot vytvoří výčet zařízení a stáhne soubor zip s názvem ' inj.zip ' ze svého serveru Command-and-Control (C2).

ThiefBot zacílí několik tureckých aplikací a bank

Ke shromažďování přihlašovacích údajů používá ThiefBot překryvné útoky, které shromažďují bankovní pověření a údaje o kreditní / debetní kartě uživatelů a poté je odesílají do infrastruktury C2 prostřednictvím požadavků POST. Jednou z aplikací, na které ThiefBot cílí, je turecká platební služba Papara.

ThiefBot navíc může přijímat příkazy k provádění mnoha ohrožujících akcí. Může shromažďovat aplikační data napadeného zařízení, seznam kontaktů a SMS zprávy. ThiefBot může také fungovat jako skříňka obrazovky zobrazením konkrétní zprávy na obrazovce zařízení. ThiefBot se může šířit zasíláním zavádějících vlastních zpráv kontaktům nalezeným v infikovaném zařízení ve snaze přesvědčit nic netušící uživatele ke stažení a instalaci ohrožující aplikace.

Aby mohli tvůrci ThiefBot spravovat kampaň a vydávat příkazy pro konkrétní oběti, vybavili svou malware hrozbu panelem pro správu.