Hydra Android Trojan

Hydra Android Trojan har været brugt i aktive angrebskampagner i et stykke tid nu, da de første prøver af denne trussel blev opdaget tilbage i 2019. Siden da er truslen gået gennem flere versioner og har set sin truende kapacitet udvidet ved flere lejligheder. Hovedmålet med Hydra Android Trojan er dog det samme - at indsamle offerets legitimationsoplysninger til bank- eller finansieringstjenester.

Den seneste kampagne, der implementerer Hydra Android Trojan, blev afdækket af cybersikkerhedsforskere på MalwareHunterTeam og Cyble. Den truende operation er rettet mod europæiske e-banking-platforme og nærmere bestemt kunderne i Commerzbank, Tysklands næststørste bank.

Skadelige funktioner

Truslen leveres via et lokkewebsted, der spreder Trojanized Commerzbank -applikationer. Når den er implementeret på offerets enhed, beder Hydra Android Trojan om flere kritiske tilladelser. For det første ønsker den adgang til Android's tilgængelighedstjeneste. Dette er en legitim baggrundstjeneste, der blev implementeret for at hjælpe mennesker med handicap med at betjene deres Android -enheder på en mere behagelig måde. Truslen misbruger imidlertid tjenesten til at overvåge og opfange alle aktiviteter, der finder sted på enhedens skærm. Hvis du gør det, kan de se legitimationsoplysningerne, som offeret har indtastet i andre applikationer.

Den anden tilladelse, som truslen kræver, er BIND_DEVICE_ADMIN. Det giver Hydra -administratorrettigheder og giver det mulighed for at udføre mange invasive aktiviteter, f.eks. At låse enheden, ændre pinkoden til skærmlås og mere. Malwaren kan udføre yderligere handlinger, herunder adgang til eller afsendelse af SMS, foretage opkald, sende meddelelser til offerets kontaktliste osv.

Den nyeste Hydra Android Trojan -version er også udstyret med TeamViewer -funktionaliteten på samme måde som S.O.V.A. Android banking Trojan. Derudover har det øget detekterings-undgåelse ved at bruge flere krypteringsteknikker og TOR til kommunikation.