Bizarro Banking Trojan

Een nieuwe geavanceerde Android-banktrojan wordt ingezet tegen gebruikers in Europa en Zuid-Amerika. De dreiging heette Bizarro en behoort tot de groep Braziliaanse banktrojanen. In plaats van lokaal te opereren zoals gewoonlijk het geval is, werd Bizarro wereldwijd gelanceerd met een grotere focus op gebruikers in Argentinië, Chili, Duitsland, Frankrijk, Italië, Spanje en Portugal.

Het doel van de bedreigingsacteur is om inloggegevens voor online bankieren te verkrijgen van de gecompromitteerde Android-apparaten en om Bitcoin-portefeuilles te kapen. Meer dan 70 banken zijn het doelwit van de Bizarro Banking Trojan. Het verspreidt zichzelf via Microsoft Installer-pakketten die ofwel worden afgeleverd via links in spam-e-mails of worden neergezet door bewapende applicaties.

Zodra Bizarro is afgeleverd op het Android-apparaat van de gebruiker, zal het doorgaan met het beëindigen van alle momenteel actieve browserprocessen. Het doel is om mogelijke sessies met bankwebsites die momenteel actief zijn, te stoppen. Het slachtoffer wordt dan gedwongen om zijn bankgegevens helemaal opnieuw in te voeren, maar deze keer zal de malware proberen informatie te verzamelen. Om de kans op succes te vergroten, neemt Bizarro de extra stappen om automatisch aanvullen uit te schakelen en valse pop-ups te genereren om tweefactorauthenticatiecodes te onderscheppen. De banktrojan wordt ook geleverd met mogelijkheden voor het vastleggen van schermen. Het meest bedreigende aspect en wat Bizarro onderscheidt van de meeste andere banktrojanen, is de volwaardige achterdeurmodule.

Een krachtige achterdeurfunctionaliteit

De achterdeurmodule van Bizarro kan meer dan 100 verschillende opdrachten herkennen en uitvoeren. De achterdeur wordt echter niet onmiddellijk geactiveerd. Het wacht totdat een verbinding met een online banksysteem die overeenkomt met een lijst met hardgecodeerde strings, is gedetecteerd. Pas daarna worden de kerncomponenten van de achterdeur geactiveerd. Over het algemeen zal de dreigingsacteur gegevens over het systeem van het slachtoffer kunnen verkrijgen; bestanden zoeken, exfiltreren of downloaden naar het systeem; controle over invoerapparaten zoals een muis of toetsenbord; phishing-berichten weergeven, zoals nep-pop-upvensters.

Bizarro kan JPEG-afbeeldingen downloaden met bepaalde banklogo's en instructies voor de slachtoffers om geselecteerde online banksystemen na te bootsen. De afbeeldingen worden opgehaald van de Command-and-Control-server (C2, C&C) en in gecodeerde vorm opgeslagen in de profieldirectory van de gebruiker. De malware kan ook aangepaste berichten weergeven. Door dit te doen, kan Bizarro het gecompromitteerde apparaat effectief bevriezen. Terwijl het aangepaste bericht wordt weergegeven, kunnen gebruikers het niet sluiten of zelfs Taakbeheer openen. Tegelijkertijd wordt het scherm grijs weergegeven en wordt de taakbalk verborgen.

De Bizarro-operatie lijkt tamelijk geavanceerd te zijn, waarbij de dreigingsacteur verschillende filialen en muilezels in dienst heeft om verschillende acties uit te voeren. Deze kunnen variëren van eenvoudige hulp bij vertalingen tot witwaspraktijken of het vergemakkelijken van de eerste aanvallen op apparaten van gebruikers.