Alien Malware

Turvallisuustutkijat ovat löytäneet uuden kannan Android-troijalaisista haittaohjelmista. He nimeivät haittaohjelman nimellä Alien ja onnistuivat analysoimaan sen taustakoodin ymmärtääkseen paremmin sen käyttäytymistä ja toimintaa. Ensinnäkin on kuitenkin huomattava, että Alien-haittaohjelmia tarjotaan Malware-as-a-Service (MaaS) -palveluna maanalaisissa hakkeri-foorumeissa. Tämän seurauksena erityistä jakelumenetelmää ja hyökkäysvektoria ei voitu luoda, koska ne molemmat riippuvat hakkeriryhmän mieltymyksistä. Silti näyttää siltä, että yleisimmät menetelmät ovat tietojenkalastelusivujen kautta, jotka tarjoavat joko väärennettyjä Coronaan liittyviä sovelluksia tai väärennettyjä ohjelmistopäivityksiä. Toinen käytetty jakelutapa on tekstiviesti - Alien kerää tartunnan saaneen laitteen yhteystietoluettelon ja levittää sitä uhkaavan kampanjansa eteenpäin.

Alien vie Cerberuksen jättämän tilan

Tarkastellessaan Alienin koodia infosec-asiantuntijat huomasivat, että merkittävät palat muistuttavat toista haittaohjelmaa, jota tarjottiin nimellä MaaS nimeltä Cerberus . Cerberus sai mainetta vuonna 2019, mutta sen toiminta laski nopeasti, kun Google onnistui kehittämään tavan havaita haittaohjelma ja puhdistaa kaikki sen tartuttamat laitteet. Kun se tapahtui, Cerberuksen takana olevat hakkerit päättivät hankkia mahdollisimman paljon rahaa ja tarjoutuivat myymään haittaohjelman koodin huutokaupassa, jonka tavoite oli 100 000 dollaria. Kun suunnitelma epäonnistui, Cerberuksen lähdekoodi vain vuodatettiin verkossa ilmaiseksi niin, että jokaisella verkkorikollisella on nyt pääsy siihen.

Vaikka Alien näyttää perustuvan vanhempaan Cerberus-muunnokseen, se näyttää pystyvän suorittamaan uhkaavan toimintansa ilman ongelmia. Itse asiassa se on edeltäjäänsä huomattavasti kehittyneempi, ja sillä on lukuisia uusia piilotettuja ominaisuuksia sekä laajennettu kohdeluettelo.

Alien voi kerätä kirjautumistietoja yli 200 sovellukselle

Alien Malware on ytimessä pankkitroijalainen. Se yrittää kerätä tunnistetietoja 226 sovellukselle näyttämällä käyttäjille väärät kirjautumissivut, jotka keräävät käyttäjänimiä, salasanoja ja muita kirjautumistietoja. Suurin osa sovelluksista oli tarkoitettu verkkokauppapalveluille ja pankeille, mutta Alien kohdistaa myös sosiaalisen median alustoja, kuten Gmail, Facebook, Telegram, Twitter, Snapchat ja WhatsApp. Lisäksi erilaisten krypto-valuuttasovellusten havaittiin sisältyvän tämän haittaohjelman uhkan kohteisiin. Alien-verkkopalvelussa hakemuksista pankkisovelluksista suurin osa sijaitsi Espanjassa, Turkissa, Saksassa ja Yhdysvalloissa. Seuraavat kolme maata olivat Italia, Ranska ja Puola.

Tiedonkeruuominaisuuksiensa, kuten sisällön peittäminen muiden sovellusten päälle ja näppäimistötulojen kirjaaminen, lisäksi Alien on varustettu joillakin ikävillä etäkäyttötoiminnoilla. Se voi käynnistää TeamViewer-ilmentymän saastuneella laitteella, mikä antaa hakkereille laajennetun hallinnan kohdennettuun laitteeseen. Muista, että rikolliset ovat jo saattaneet kerätä useita käyttäjän kirjautumistunnuksia, joita voitaisiin käyttää yhdessä Alienin kyvyn kanssa sekä asentaa että käynnistää muita sovelluksia.

Suuri määrä haittaohjelman uhkan suorittamia toimintoja sisältää myös yhteystietoluetteloiden keräämisen, tekstiviestien keräämisen, lukemisen ja lähettämisen, 2FA-koodien vaarantamisen tai selainohjelmien käynnistämisen tiettyjen sivujen avaamiseksi.

Alien-haittaohjelma on voimakas Android-troijalainen uhka, joka voi aiheuttaa vakavia vahinkoja laitteen tartuttamisen jälkeen. Paras tapa estää se ja pitää itsesi turvassa on estää hyökkäys tapahtumasta kiinnittämällä huomiota asennettavien sovellusten latauslähteisiin.