„Datzbro“ bankininkystės Trojos arklys
Kibernetinio saugumo tyrėjai neseniai atskleidė anksčiau nedokumentuotą „Android“ bankininkystės Trojos arklį, vadinamą „Datzbro“, skirtą įrenginių perėmimo (DTO) atakoms ir nesąžiningoms finansinėms operacijoms atlikti. Kenkėjiška programa daugiausia nukreipta į vyresnio amžiaus vartotojus, išnaudodama jų pasitikėjimą per socialinės žiniasklaidos socialinės inžinerijos kampanijas.
Turinys
Socialinė inžinerija per „Facebook“ grupes
Kampanija pirmą kartą buvo aptikta 2025 m. rugpjūtį, gavus pranešimus iš Australijos vartotojų. Kibernetinės atakos vykdytojai administravo „Facebook“ grupes, reklamuojančias „aktyvias senjorų keliones“, orientuotas į vyresnio amžiaus žmones, besidominčius socialine veikla, renginiais ir susibūrimais gyvai. Kiti paveikti regionai yra Singapūras, Malaizija, Kanada, Pietų Afrika ir Jungtinė Karalystė.
Šios „Facebook“ grupės dažnai dalijasi dirbtinio intelekto sukurtu turiniu, teigdamos, kad organizuoja renginius senjorams. Jei taikinys išreiškia susidomėjimą, užpuolikai susisiekia su juo per „Facebook Messenger“ arba „WhatsApp“ ir ragina atsisiųsti APK failą iš apgaulingos nuorodos (pvz., download.seniorgroupapps.com).
Netikros svetainės reklamuoja vadinamąją bendruomenės programėlę, teigdamos, kad ji leis senjorams:
- Registruokitės į renginius ir veiklas.
- Susisiekite su kitais grupės nariais.
- Sekite artėjančius tvarkaraščius.
Kai kuriose svetainėse netgi yra nuorodos į „iOS“ programėlę, o tai rodo, kad užpuolikai siekia nukreipti tiek „Android“, tiek „iOS“ naudotojus, platindami „TestFlight“ programėles, skirtas „iOS“, bandydami apgauti aukas.
Kaip „Datzbro“ užkrečia įrenginius
Kai auka atsisiunčia „Android“ programėlę, ji atlieka vieną iš šių veiksmų:
- Įdiegia kenkėjišką programą tiesiai įrenginyje arba
- Įdiegia lašintuvą, sukurtą naudojant „Zombinder“ – APK susiejimo paslaugą, kuri apeina saugos apribojimus „Android 13“ ir naujesnėse versijose.
Nustatytos kelios kenkėjiškos programėlės, platinančios „Datzbro“, įskaitant:
- Vyresniųjų grupė (twzlibwr.rlrkvsdw.bcfwgozi)
- Gyvybingi metai (orgGyvybingiMetai.browses646)
- ActiveSenior (com.forest481.security)
- „DanceWave“ (inedpnok.kfxuvnie.mggfqzhl)
Pajėgumai ir finansinės grėsmės
„Datzbro“ turi platų šnipinėjimo programų ir finansinių sukčiavimo prevencijos funkcijų spektrą, įskaitant:
- Garso įrašymas ir nuotraukų darymas.
- Prieiga prie failų ir nuotraukų.
- Vykdomos perdangos atakos, klavišų paspaudimų registravimas ir nuotolinis įrenginių valdymas.
- Naudojant „Android“ pritaikymo neįgaliesiems paslaugas automatiniams veiksmams atlikti aukos vardu.
Išskirtinė funkcija yra scheminis nuotolinio valdymo režimas, kuris užpuolikams siunčia išsamią informaciją apie visus ekrano elementus, jų padėtį ir turinį. Tai leidžia jiems atkurti sąsają ir nuotoliniu būdu visiškai valdyti įrenginį.
Be to, „Datzbro“ gali:
- Rodyti pusiau permatomus perdangas su pasirinktiniu tekstu, kad paslėptų kenkėjišką veiklą.
- Pavogti įrenginio užrakinimo ekrano PIN kodus ir slaptažodžius, skirtus „Alipay“ ir „WeChat“.
- Nuskaitykite bankininkystės arba kriptovaliutų piniginės programėlių prieinamumo įvykių žurnalus ir išskirkite prisijungimo duomenis.
Šios funkcijos pabrėžia kenkėjiškos programos tikslą siekti finansinės naudos, paversdamos tai, kas prasideda kaip šnipinėjimo programa, sudėtinga grėsme, skirta pavogti slaptą banko informaciją.
Priskyrimo ir vadovavimo bei kontrolės infrastruktūra
Analizė rodo, kad „Datzbro“ yra susijusi su kinų kalba kalbančia grėsmių grupe, ką įrodo kinų kalbos derinimo ir registravimo eilutės kenkėjiškos programos šaltinio kode. Skirtingai nuo daugelio kenkėjiškų programų šeimų, kurios remiasi žiniatinklio pagrindu veikiančiomis C2 panelėmis, „Datzbro“ jungiasi prie kinų kalba sukurtos darbalaukio programos, skirtos komandų ir valdymo operacijoms.
Sukompiliuota šios C2 programėlės versija buvo nutekinta į viešą virusų saugyklą, o tai rodo, kad kenkėjiška programa dabar gali būti laisvai platinama tarp kibernetinių nusikaltėlių, todėl padidėja jos potencialus pasiekiamumas.
Mobiliojo saugumo pasekmės
„Datzbro“ atradimas iliustruoja mobiliųjų įrenginių grėsmių, ypač tų, kurios naudojasi socialine inžinerija, kad nukreiptų į pažeidžiamas gyventojų grupes, evoliuciją. Sutelkdami dėmesį į vyresnio amžiaus žmones ir pasinaudodami, atrodytų, nekenksmingais „Facebook“ įvykiais, užpuolikai gali paprastą socialinę sąveiką paaštrinti iki įrenginio perėmimo, kredencialų vagystės ir finansinio sukčiavimo.
Ši kampanija pabrėžia budrumo svarbą mobiliųjų įrenginių saugumui, ypač vyresnio amžiaus vartotojams, kurie gali tapti taikiniais per pasitikėjimu grįstus socialinius tinklus.
