TsarBot Banking trójai
Egy újonnan felfedezett Android rosszindulatú program, a TsarBot jelentős kiberfenyegetésként jelent meg. Ez a kártevő, amely több mint 750 alkalmazást céloz meg a banki, pénzügyi, kriptovaluta és e-kereskedelmi szektorban, komoly kockázatot jelent a felhasználók érzékeny adataira nézve.
Tartalomjegyzék
Hogyan gyűjti össze az Ön adatait a TsarBot
A TsarBot egy kifinomult banki trójai, amely overlay támadásokat alkalmaz banki adatok, bejelentkezési adatok és hitelkártyaadatok ellopására. Több régióban – beleértve Észak-Amerikát, Európát, Ázsia-Csendes-óceáni térséget és a Közel-Keletet – működő TsarBot megtévesztő taktikákat alkalmaz az eszközök beszivárgására és az adatok zökkenőmentes kinyerésére.
Hogyan terjed a TsarBot: csapdák és trükkök
A TsarBot elsősorban pénzügyi platformoknak álcázott rosszindulatú webhelyeken keresztül terjed. Figyelemre méltó példa a Photon SOL decentralizált kereskedési platform hamis verziója, amely csalárd kereskedési alkalmazás letöltésére csalja meg a felhasználókat. Emellett az adathalászat és a social engineering taktikák jelentős szerepet játszanak a terjesztésében.
Az olyan rosszindulatú programok, mint a TsarBot, gyakran látszólag ártalmatlan tartalmakba ágyazódnak be, és a felhasználókat gyorsletöltések, rosszindulatú hirdetések, online taktikák, kétes letöltési források, spam e-mailek, hamis frissítések és kalóz tartalom révén érik el. Egyes változatok helyi hálózatokon és USB-meghajtókon keresztül akár önmaguktól is elterjedhetnek, így még nagyobb kihívást jelent a tárolásuk.
Hogyan működik a TsarBot: A megtévesztés mestere
A telepítés után – gyakran Google Play-szolgáltatásoknak álcázva – a TsarBot átfedéses támadást hajt végre, hamis bejelentkezési képernyőket jelenít meg a legitim alkalmazások felett. Ez lehetővé teszi a bejelentkezési adatok gyűjtését anélkül, hogy gyanút kelt.
Az overlay támadásokon túl a TsarBot olyan fejlett technikákat alkalmaz, mint a képernyőrögzítés, a fertőzött eszközök távvezérlése és a PIN-kódok és jelszavak hamis zárolási képernyők segítségével történő rögzítése. Ezenkívül képes szimulálni a felhasználói műveleteket, például a csúsztatást és a koppintást, miközben elrejti tevékenységeit egy fekete fedőképernyővel.
A Command-and-Control (C&C) kapcsolat
A TsarBot a Command-and-Control (C&C) szerverével WebSocket kapcsolatokon keresztül kommunikál, amelyek lehetővé teszik a valós idejű adatlopást és a csaló tevékenységeket. Ezek a kapcsolatok lehetővé teszik a rosszindulatú programok számára, hogy manipulálják a képernyőket, gesztusokat hajtsanak végre, és kölcsönhatásba lépjenek a célzott alkalmazásokkal.
A kártevő frissített listát tart fenn a célzott alkalmazásokról, beleértve az indiai, francia, lengyel és ausztrál banki platformokat, kriptovaluta kereskedést és közösségi média alkalmazásokat. Amikor a felhasználók interakcióba lépnek ezekkel az alkalmazásokkal, a TsarBot egy hamis adathalász oldalt fed le a hitelesítő adatok begyűjtéséhez, és az összegyűjtött adatokat visszaküldi a C&C szerverére.
Hogyan maradhat biztonságban a TsarBottól
A TsarBothoz hasonló fenyegetésekkel szembeni védelem érdekében a kiberbiztonsági szakértők a következőket javasolják:
- A nem megbízható alkalmazásforrások és harmadik féltől származó üzletek kerülése
- Legyen óvatos az adathalász hivatkozásokkal és a gyanús webhelyekkel
- A Google Play Protect engedélyezése a nagyobb biztonság érdekében
- Az eszközök rendszeres frissítése a biztonsági rések javítása érdekében
- Tartózkodás a kalóz vagy feltört szoftverek letöltésétől
Ahogy az Android banki trójaiak egyre kifinomultabbak, a felhasználóknak ébernek kell maradniuk, és proaktív biztonsági intézkedéseket kell tenniük adataik védelme érdekében.
