TsarBot bankarski trojanac
Novootkriveni malware za Android, TsarBot, pojavio se kao značajna cyber prijetnja. Ciljajući preko 750 aplikacija u sektorima bankarstva, financija, kriptovaluta i e-trgovine, ovaj zlonamjerni softver predstavlja ozbiljan rizik za osjetljive podatke korisnika.
Sadržaj
Kako TsarBot sakuplja vaše podatke
TsarBot je sofisticirani bankarski trojanac koji koristi preklapajuće napade za krađu bankovnih podataka, vjerodajnica za prijavu i podataka o kreditnoj kartici. Djelujući u više regija—uključujući Sjevernu Ameriku, Europu, Aziju-Pacifik i Bliski istok—TsarBot koristi prijevarne taktike za infiltraciju u uređaje i besprijekorno izvlačenje podataka.
Kako se TsarBot širi: Zamke i trikovi
TsarBot se primarno širi putem zlonamjernih web stranica prerušenih u financijske platforme. Značajan primjer uključuje lažnu verziju platforme za decentralizirano trgovanje Photon SOL, koja vara korisnike da preuzmu lažnu aplikaciju za trgovanje. Osim toga, taktike krađe identiteta i društvenog inženjeringa igraju značajnu ulogu u njegovoj distribuciji.
Zlonamjerni softver poput TsarBota često je ugrađen u naizgled bezopasan sadržaj, dopirući do korisnika putem preuzimanja, zlonamjernog oglašavanja, mrežnih taktika, sumnjivih izvora preuzimanja, neželjene e-pošte, lažnih ažuriranja i piratskog sadržaja. Neke se varijante čak mogu same širiti kroz lokalne mreže i USB pogone, što ih čini još većim izazovom za zadržavanje.
Kako radi TsarBot: majstor obmane
Jednom instaliran—često prerušen u Google Play usluge—TsarBot izvodi preklapajući napad prikazujući lažne zaslone za prijavu preko legitimnih aplikacija. To mu omogućuje prikupljanje vjerodajnica za prijavu bez izazivanja sumnje.
Osim preklapajućih napada, TsarBot koristi napredne tehnike poput snimanja zaslona, daljinskog upravljanja zaraženim uređajima i mehanizama za otključavanje koji hvataju PIN-ove i lozinke pomoću lažnih zaključanih zaslona. Također može simulirati radnje korisnika poput prevlačenja i dodirivanja dok svoje aktivnosti skriva crnim preklapanjem zaslona.
Komandno-kontrolna (C&C) veza
TsarBot komunicira sa svojim Command-and-Control (C&C) poslužiteljem putem WebSocket veza, koje omogućuju krađu podataka i lažne aktivnosti u stvarnom vremenu. Ove veze omogućuju zlonamjernom softveru da manipulira zaslonima, izvršava geste i komunicira s ciljanim aplikacijama.
Zlonamjerni softver održava ažurirani popis ciljanih aplikacija, uključujući bankarske platforme iz Indije, Francuske, Poljske i Australije, trgovanje kriptovalutama i aplikacije društvenih medija. Kada korisnici stupe u interakciju s tim aplikacijama, TsarBot prekriva lažnu stranicu za krađu identiteta kako bi prikupio vjerodajnice, prenoseći prikupljene podatke natrag na svoj C&C poslužitelj.
Kako se zaštititi od TsarBot-a
Za zaštitu od prijetnji kao što je TsarBot, stručnjaci za kibernetičku sigurnost preporučuju:
- Izbjegavanje nepouzdanih izvora aplikacija i trgovina trećih strana
- Budite oprezni s vezama za krađu identiteta i sumnjivim web stranicama
- Omogućavanje Google Play Protecta za dodatnu sigurnost
- Redovito ažuriranje uređaja za zakrpu ranjivosti
- Suzdržavanje od preuzimanja piratskog ili krekiranog softvera
Kako Android bankarski trojanci postaju sve sofisticiraniji, korisnici moraju ostati na oprezu i poduzeti proaktivne sigurnosne mjere kako bi zaštitili svoje podatke.
