Hydra Banking Trojan

Trusselaktører bruker en invasiv Android-banktrojaner kalt Hydra for å målrette mot kundene til Commerzbank, en av Tysklands største banker, spesifikt. De nettkriminelle spredte sitt truende verktøy under dekke av en PDF-dokumentbehandler. Den falske applikasjonen var til og med i stand til å omgå defensive mekanismene til Google Play Store en stund, men har siden blitt fjernet. Likevel blir trusselen distribuert på tredjeparts appbutikker, som apkaio.com og apkcombo.com. I tillegg må brukere som allerede har lastet ned applikasjonen manuelt rense enhetene sine, fortrinnsvis med en profesjonell anti-malware-løsning.

Når den er aktivert på brukerens Android-enhet, vil Hydra be om over 20 vidtrekkende tillatelser. Hvis det blir gitt til det, vil trusselen kunne utføre en rekke invasive handlinger på enheten. Mens den løper stille i bakgrunnen, kunne Hydra overvåke eller til og med fange opp alle innkommende eller utgående data. Trusselen kan endre Wi-Fi-innstillingene, få tilgang til den overtrådte enhetens kontaktliste og endre ekstern lagring som er koblet til den. Hydra kan starte telefonsamtaler, sende SMS-meldinger, installere tilleggsapplikasjoner og vise systemvarsler. Hvis den er fullt etablert, kan Hydra-banktrojaneren ta skjermbilder og samle inn engangspassord, samt PIN-koden som brukes til å låse opp enhetens skjerm.

For å forbli ubemerket skjuler skadevaren sitt eget ikon og deaktiverer Play Protect på enheten. Videre, for å maskere den unormale trafikken, bruker Hydra kryptert TOR-kommunikasjon.