Lopov Bot

ThiefBot je Android bankarski trojanac koji je namijenjen ciljanju korisnika koji se prvenstveno nalaze u Turskoj. Ova specifična prijetnja zlonamjernim softverom oglašava se i prodaje na podzemnim hakerskim forumima.

Da ne bi izgledao previše sumnjivo, ThiefBot se maskira kao aplikacija trgovine Google Play koja nakon instalacije odmah započinje tražiti sve vrste dozvola. ThiefBot želi da mu korisnici omoguće čitanje, slanje i primanje SMS poruka, kao i pristup spremištu uređaja, telefonskim kontaktima i kameri. ThiefBot također želi dopuštenje za uključivanje usluge pristupačnosti na ugroženom uređaju. Ako uspije, ThiefBot nabroji uređaj i preuzme zip datoteku pod nazivom ' inj.zip ' sa svog poslužitelja Command-and-Control (C2).

ThiefBot cilja nekoliko turskih aplikacija i banaka

Za prikupljanje vjerodajnica ThiefBot koristi overlay napade koji prikupljaju vjerodajnice banke i podatke o kreditnoj / debitnoj kartici korisnika, a zatim ih šalju na C2 infrastrukturu putem POST zahtjeva. Jedna od aplikacija koju cilja ThiefBot odnosi se na uslugu plaćanja Papara sa sjedištem u Turskoj.

Uz to, ThiefBot može primati naredbe za izvršavanje brojnih prijetećih radnji. Može prikupiti podatke o aplikaciji ugroženog uređaja, popis kontakata i SMS poruke. ThiefBot također može djelovati kao zaključavanje zaslona prikazivanjem određene poruke na zaslonu uređaja. ThiefBot se može širiti slanjem zavaravajućih prilagođenih poruka kontaktima koji se nalaze na zaraženom uređaju, pokušavajući uvjeriti korisnike koji nesumnjivo preuzimaju i instaliraju prijeteću aplikaciju.

Kako bi upravljali kampanjom i izdavali naredbe za određene žrtve, kreatori ThiefBot-a opremili su svoju prijetnju zlonamjernim softverom administratorskom pločom.