TsarBot Banking Trojos arklys
Naujai atrasta „Android“ kenkėjiška programa „TsarBot“ iškilo kaip rimta kibernetinė grėsmė. Ši kenkėjiška programa, skirta daugiau nei 750 programų bankininkystės, finansų, kriptovaliutų ir elektroninės prekybos sektoriuose, kelia rimtą pavojų neskelbtiniems vartotojų duomenims.
Turinys
Kaip „TsarBot“ renka jūsų duomenis
TsarBot yra sudėtingas bankininkystės Trojos arklys, kuris naudoja perdangos atakas, kad pavogtų banko duomenis, prisijungimo duomenis ir kredito kortelės informaciją. Veikdamas keliuose regionuose, įskaitant Šiaurės Ameriką, Europą, Azijos ir Ramiojo vandenyno regionus bei Artimuosius Rytus, „TsarBot“ naudoja apgaulingą taktiką, kad įsiskverbtų į įrenginius ir sklandžiai išgautų duomenis.
Kaip „TsarBot“ plinta: spąstai ir gudrybės
„TsarBot“ pirmiausia plinta per kenkėjiškas svetaines, užmaskuotas kaip finansinės platformos. Puikus pavyzdys yra netikra Photon SOL decentralizuotos prekybos platformos versija, kuri verčia vartotojus atsisiųsti nesąžiningą prekybos programą. Be to, sukčiavimo ir socialinės inžinerijos taktikos vaidina svarbų vaidmenį ją platinant.
Kenkėjiškos programos, tokios kaip „TsarBot“, dažnai įterpiamos į iš pažiūros nekenksmingą turinį ir pasiekia vartotojus per greitą atsisiuntimą, kenkėjišką reklamą, internetinę taktiką, abejotinus atsisiuntimo šaltinius, el. pašto šiukšles, netikrus naujinimus ir piratinį turinį. Kai kurie variantai netgi gali savaime plisti per vietinius tinklus ir USB diskus, todėl juos laikyti dar sudėtingiau.
Kaip veikia „TsarBot“: apgaulės meistras
Įdiegtas – dažnai užmaskuotas kaip „Google Play“ paslaugos – „TsarBot“ įvykdo perdangos ataką, rodydamas netikrus prisijungimo ekranus per teisėtas programas. Tai leidžia rinkti prisijungimo duomenis nesukeliant įtarimo.
Be perdangos atakų, „TsarBot“ naudoja pažangias technologijas, tokias kaip ekrano įrašymas, nuotolinis užkrėstų įrenginių valdymas ir užrakto griebimo mechanizmai, kurie fiksuoja PIN kodus ir slaptažodžius naudojant netikrus užrakinimo ekranus. Jis taip pat gali imituoti vartotojo veiksmus, pvz., braukimą ir bakstelėjimą, slepiantis savo veiklą juodu perdangos ekranu.
Komandų ir valdymo (C&C) ryšys
„TsarBot“ bendrauja su savo komandų ir valdymo (C&C) serveriu per „WebSocket“ ryšius, kurie įgalina duomenų vagystes ir nesąžiningą veiklą realiuoju laiku. Šie ryšiai leidžia kenkėjiškajai programai manipuliuoti ekranais, atlikti gestus ir sąveikauti su tikslinėmis programomis.
Kenkėjiška programa palaiko atnaujintą tikslinių programų sąrašą, įskaitant bankininkystės platformas iš Indijos, Prancūzijos, Lenkijos ir Australijos, prekybą kriptovaliutomis ir socialinės žiniasklaidos programas. Kai naudotojai sąveikauja su šiomis programomis, „TsarBot“ uždengia netikrą sukčiavimo puslapį, kad surinktų kredencialus ir surinktus duomenis perduoda atgal į savo C&C serverį.
Kaip apsisaugoti nuo „TsarBot“.
Norėdami apsisaugoti nuo tokių grėsmių kaip „TsarBot“, kibernetinio saugumo ekspertai rekomenduoja:
- Venkite nepatikimų programų šaltinių ir trečiųjų šalių parduotuvių
- Būkite atsargūs dėl sukčiavimo nuorodų ir įtartinų svetainių
- Įgalinkite „Google Play Protect“, kad padidintumėte saugumą
- Reguliariai atnaujinami įrenginiai, siekiant pataisyti pažeidžiamumą
- Susilaikymas nuo piratinės ar nulaužtos programinės įrangos atsisiuntimo
Kadangi Android bankininkystės Trojos arklys tampa vis sudėtingesnis, vartotojai turi išlikti budrūs ir imtis aktyvių saugumo priemonių, kad apsaugotų savo duomenis.
