Alien Malware

Turvauurijad on avastanud Android Trooja pahavara uue tüve. Nad dubleerisid pahavara nimega Alien ja suutsid selle aluseks olevat koodi analüüsida, et paremini mõista selle käitumist ja toimimist. Esiteks tuleb siiski märkida, et välismaalase pahavara pakutakse maa-alustes häkkerite foorumites kui Malware-as-a-Service (MaaS). Seetõttu ei saanud kindlat levitusmeetodit ja ründevektorit luua, kuna need mõlemad sõltuvad iga häkkerirühma eelistustest. Siiski näib, et kõige levinumad meetodid on andmepüügilehtede kaudu, mis pakuvad kas võltsitud Coronaga seotud rakendusi või võltsitud tarkvarauuendusi. Teine levitamismeetod on SMS-i kaudu - Alien kogub nakatunud seadme kontaktiloendi ja kasutab seda ähvardava kampaania edasiseks levitamiseks.

Tulnukas võtab ruumi, mille on jätnud Cerberus

Alieni koodi vaadates märkasid infosek-eksperdid, et selle olulised tükid sarnanevad teise pahavaraga, mida pakuti MaaS-i nimega Cerberus . Cerberus saavutas 2019. aastal tuntuse, kuid selle tegevus langes kiiresti, kui Google suutis välja töötada viisi nii pahavara avastamiseks kui ka kõigi sellega nakatunud seadmete puhastamiseks. Kui see juhtus, otsustasid Cerberuse taga olevad häkkerid hankida võimalikult palju raha ja pakkusid pahavara koodi müümist oksjonil eesmärgiga jõuda 100 000 dollarini. Kui see plaan ebaõnnestus, lekitati Cerberuse lähtekood lihtsalt veebis tasuta nii et igal küberkurjategijal on nüüd sellele juurdepääs.

Ehkki näib, et Alien põhineb vanemal Cerberuse variandil, näib see võimeline oma ähvardavat tegevust probleemideta läbi viima. Tegelikult on see eelkäijast keerukam ja uhke, et tal on palju uusi varjatud võimalusi ja laiendatud sihtnimekiri.

Välismaalane saab koguda volitusi enam kui 200 rakenduse jaoks

Alien Malware on keskmes panganduse Trooja. See üritab koguda mandaate 226 rakenduse jaoks, näidates kasutajatele võltsitud sisselogimislehti, mis koguvad kasutajanimesid, paroole ja muid sisselogimisandmeid. Enamik rakendusi olid mõeldud e-kaubanduse teenustele ja pankadele, kuid Alien on suunatud ka sotsiaalmeedia platvormidele nagu Gmail, Facebook, Telegram, Twitter, Snapchat ja WhatsApp. Lisaks leiti, et selle pahavara ohu sihtmärkide hulka kuuluvad ka erinevad krüptoraha rakendused. Pangarakendustest, mida välismaalane püüdis, asus enamik Hispaanias, Türgis, Saksamaal ja Ameerika Ühendriikides. Järgmised kolm riiki olid Itaalia, Prantsusmaa ja Poola.

Lisaks andmekogumisvõimalustele, nagu sisu ülekandmine teiste rakenduste peale ja klaviatuuri sisendite logimine, on Alien varustatud mõne vastiku kaugjuurdepääsu funktsiooniga. See võib käivitada nakatunud seadmes TeamVieweri eksemplari, mis annab häkkeritele laiendatud sihitud seadme juhtimise. Pidage meeles, et kurjategijad võivad olla juba kogunud mitu kasutaja sisselogimismandaati, mida saaks kasutada koos Alieni võimalusega teisi rakendusi installida ja käivitada.

Suur hulk pahavaraohu funktsioone hõlmab ka kontaktiloendite kogumist, SMS-sõnumite kogumist, lugemist ja saatmist, 2FA-koodide ohustamist või konkreetsete lehtede avamiseks brauserirakenduste käivitamist.

Alien Malware on tugev Androidi Trooja oht, mis võib seadme nakatamise järel tõsiseid kahjustusi tekitada. Parim viis selle ärahoidmiseks ja enese turvalisuse tagamiseks on blokeerida rünnaku toimumine, pöörates tähelepanu iga installitava rakenduse allalaadimisallikatele.