Bizarro Banking Trojan

En ny sofistikeret Android-bank-trojan udnyttes mod brugere i Europa og Sydamerika. Truslen hed Bizarro og tilhører gruppen af brasilianske banktrojanere. I stedet for at operere lokalt, som det normalt er tilfældet, blev Bizarro frigivet globalt med et højere fokus på brugere i Argentina, Chile, Tyskland, Frankrig, Italien, Spanien og Portugal.

Målet med trusselsaktøren er at få internetbankoplysninger fra de kompromitterede Android-enheder samt kapre Bitcoin-tegnebøger. Over 70 banker er målrettet af Bizarro Banking Trojan. Det spreder sig gennem Microsoft Installer-pakker, der enten leveres via links i spam-e-mails eller droppes af våbenapplikationer.

Når Bizarro er leveret til brugerens Android-enhed, fortsætter den med at dræbe alle aktuelt aktive browserprocesser. Målet er at stoppe eventuelle sessioner med bankwebsteder, der muligvis kører i øjeblikket. Offeret vil derefter blive tvunget til at indtaste deres bankoplysninger igen, men denne gang vil malware forsøge at høste information. For at øge sine chancer for succes tager Bizarro de yderligere trin for at deaktivere autofuldførelse og generere falske pop op-vinduer for at opfange eventuelle tofaktorautentificeringskoder. Bank Trojan kommer også med skærmoptagelsesfunktioner. Det mest truende aspekt, og hvad der adskiller Bizarro fra de fleste andre bank-trojanske heste, er dens fuldt udbyggede bagdørsmodul.

En kraftig bagdørfunktionalitet

Bizarros bagdørsmodul kan genkende og udføre over 100 forskellige kommandoer. Bagdøren aktiveres dog ikke med det samme. Det venter, indtil der er fundet en forbindelse til et online banksystem, der matcher en liste med hardkodede strenge. Først derefter aktiveres bagdørens kernekomponenter. Generelt vil trusselsaktøren være i stand til at indhente data om ofrets system; søge efter, exfiltrere eller downloade filer til systemet; tage kontrol over inputenheder såsom en mus eller et tastatur vise phishing-beskeder såsom falske pop op-vinduer.

Bizarro kan downloade JPEG-billeder, der indeholder visse banklogoer og instruktioner til ofrene for at efterligne udvalgte online banksystemer. Billederne hentes fra Command-and-Control (C2, C&C) serveren og gemmes i brugerens profilmappe i krypteret form. Malwaren kan også vise brugerdefinerede meddelelser. Ved at gøre dette kan Bizarro fryse den kompromitterede enhed effektivt. Mens den brugerdefinerede besked vises, kan brugerne ikke lukke den eller endda åbne Jobliste. På samme tid bliver skærmen nedtonet og proceslinjen skjult.

Bizarro-operationen ser ud til at være temmelig sofistikeret med trusselsaktøren, der ansætter forskellige datterselskaber og muldyr til at udføre forskellige handlinger. Disse kan variere fra simpel hjælp til oversættelser til ordninger for hvidvaskning af penge eller lette de første angreb på brugerenheder.