ThiefBot

ThiefBot er en Android-bank-trojan, der er designet til primært at målrette mod brugere i Tyrkiet. Denne specifikke malware-trussel annonceres og sælges i underjordiske hackerfora.

For ikke at fremstå som for mistænksom forklæder ThiefBot sig som et Google Play-butiksprogram, der straks efter installationen begynder at bede om alle slags tilladelser. ThiefBot ønsker, at brugerne tillader det at læse, sende og modtage SMS-beskeder samt få adgang til enhedens lager, telefonkontakter og kamera. ThiefBot ønsker også tilladelse til at aktivere tilgængelighedstjenesten på den kompromitterede enhed. Hvis det lykkes, tæller ThiefBot enheden og downloader en zip-fil med navnet ' inj.zip ' fra dens Command-and-Control (C2) -server.

ThiefBot målretter mod flere tyrkiske applikationer og banker

For at indsamle legitimationsoplysninger bruger ThiefBot overlayangreb, der indsamler banklegitimationsoplysninger og kredit- / betalingskortoplysninger for brugerne og derefter sender dem til C2-infrastrukturen via POST-anmodninger. En af de applikationer, der er målrettet mod ThiefBot, er til den tyrkiske-baserede Papara Payment Service.

Derudover kan ThiefBot modtage kommandoer til at udføre adskillige truende handlinger. Det kan indsamle applikationsdata for den kompromitterede enhed, kontaktliste og SMS-beskeder. ThiefBot kan også fungere som en skærmboks ved at vise en bestemt besked på enhedens skærm. ThiefBot kan formere sig selv ved at sende vildledende brugerdefinerede meddelelser til de kontakter, der findes på den inficerede enhed, i et forsøg på at overbevise de intetanende brugere om at downloade og installere den truende applikation.

For at styre kampagnen og udstede kommandoer til specifikke ofre har skaberne af ThiefBot udstyret deres malware-trussel med et adminpanel.