Hydra Banking Troijalainen

Uhkatoimijat käyttävät invasiivista Android-pankkitroijalaista nimeltä Hydra kohdistaakseen erityisesti Commerzbankin, yhden Saksan suurimmista pankeista, asiakkaita. Kyberrikolliset levittelivät uhkaavaa työkaluaan PDF-dokumentinhallintaohjelman varjolla. Väärennetty sovellus pystyi jopa ohittamaan Google Play -kaupan puolustusmekanismit jonkin aikaa, mutta on sittemmin poistettu. Silti uhkaa jaetaan kolmansien osapuolien sovelluskaupoissa, kuten apkaio.com ja apkcombo.com. Lisäksi sovelluksen jo ladaneiden käyttäjien on puhdistettava laitteensa manuaalisesti, mieluiten ammattimaisella haittaohjelmien torjuntaratkaisulla.

Kun Hydra on aktivoitu käyttäjän Android-laitteella, se pyytää yli 20 laajaa käyttöoikeutta. Jos se myönnetään, uhka pystyy suorittamaan useita invasiivisia toimintoja laitteella. Juokseessaan äänettömästi taustalla, Hydra pystyi tarkkailemaan tai jopa sieppaamaan saapuvia tai lähteviä tietoja. Uhka voi muuttaa Wi-Fi-asetuksia, päästä rikotun laitteen yhteystietoluetteloon ja muokata mitä tahansa siihen kytkettyä ulkoista tallennustilaa. Hydra voi soittaa puheluita, lähettää tekstiviestejä, asentaa lisäsovelluksia ja näyttää järjestelmähälytyksiä. Jos Hydra Banking Troijalainen on täysin vakiintunut, se voi ottaa kuvakaappauksia ja kerätä kertaluonteisia salasanoja sekä PIN-koodin, jota käytetään laitteen näytön lukituksen avaamiseen.

Pysyäkseen huomaamattomana haittaohjelma piilottaa oman kuvakkeensa ja poistaa Play Protectin käytöstä laitteelta. Lisäksi Hydra käyttää salattua TOR-viestintää peittääkseen epänormaalin liikenteen.