Hydra Banking Trojan

Trusselaktører bruger en invasiv Android-banktrojaner ved navn Hydra til specifikt at målrette kunderne i Commerzbank, en af Tysklands største banker. De cyberkriminelle spredte deres truende værktøj under dække af en PDF-dokumentmanager. Den falske applikation var endda i stand til at omgå defensive mekanismer i Google Play Butik i et stykke tid, men er siden blevet fjernet. Alligevel bliver truslen distribueret på tredjeparts app-butikker, såsom apkaio.com og apkcombo.com. Desuden skal brugere, der allerede har downloadet applikationen, manuelt rense deres enheder, helst med en professionel anti-malware-løsning.

Når den er aktiveret på brugerens Android-enhed, vil Hydra bede om over 20 vidtrækkende tilladelser. Hvis det tildeles det, vil truslen være i stand til at udføre adskillige invasive handlinger på enheden. Mens den kører lydløst i baggrunden, kunne Hydra overvåge eller endda opsnappe alle indgående eller udgående data. Truslen kan ændre Wi-Fi-indstillingerne, få adgang til den overtrådte enheds kontaktliste og ændre enhver ekstern lagring, der er tilsluttet den. Hydra kan starte telefonopkald, sende SMS-beskeder, installere yderligere applikationer og vise systemadvarsler. Hvis den er fuldt etableret, kan Hydra banking-trojaneren tage skærmbilleder og indsamle engangsadgangskoder samt PIN-koden, der bruges til at låse enhedens skærm op.

For at forblive ubemærket skjuler malwaren sit eget ikon og deaktiverer Play Protect på enheden. Desuden, for at maskere dens unormale trafik, bruger Hydra krypteret TOR-kommunikation.