VarasBot

ThiefBot on Android-pankkitroijalainen, joka on suunniteltu ensisijaisesti Turkissa asuville käyttäjille. Tätä erityistä haittaohjelmien uhkaa mainostetaan ja myydään maanalaisissa hakkereiden foorumeissa.

Jotta ThiefBot ei näyttäisi liian epäilyttävältä, se peittää itsensä Google Play -kauppasovellukseksi, joka asennuksen yhteydessä alkaa pyytää kaikkia käyttöoikeustyyppejä välittömästi. ThiefBot haluaa käyttäjien sallivan sen lukea, lähettää ja vastaanottaa tekstiviestejä sekä käyttää laitteen tallennustilaa, puhelinkontakteja ja kameraa. ThiefBot pyytää myös lupaa käynnistää esteettömyyspalvelun vaarantuneessa laitteessa. Jos se onnistuu, ThiefBot luetteloi laitteen ja lataa zip-tiedoston nimeltä ' inj.zip ' Command-and-Control (C2) -palvelimelta.

ThiefBot kohdistaa useita turkkilaisia sovelluksia ja pankkeja

ThiefBot käyttää tunnistetietojen keräämiseen peittohyökkäyksiä, jotka keräävät käyttäjien pankkitiedot ja luotto- / maksukorttitiedot ja lähettävät ne sitten C2-infrastruktuuriin POST-pyyntöjen kautta. Yksi ThiefBotin kohteista on Turkissa toimiva Papara Payment Service.

Lisäksi ThiefBot voi vastaanottaa komentoja lukuisten uhkaavien toimintojen suorittamiseksi. Se voi kerätä vaarantuneen laitteen sovellustiedot, yhteystietoluettelon ja tekstiviestit. ThiefBot voi toimia myös näytön lukittajana näyttämällä tietyn viestin laitteen näytöllä. ThiefBot voi levittää itseään lähettämällä harhaanjohtavia mukautettuja viestejä tartunnan saaneen laitteen kontakteille yrittäessään saada epäilemättömät käyttäjät lataamaan ja asentamaan uhkaavan sovelluksen.

ThiefBotin luojat ovat hallinneet kampanjaa ja antaneet komentoja tietyille uhreille haittaohjelmien uhasta hallintapaneelilla.