Elibomi Android-malware

Elibomi Android-malware Beschrijving

Er is een nieuwe familie van phishing Android-malware gespot die wordt gebruikt bij live-aanvallen door cybercriminelen. De dreiging werd ontdekt door de onderzoekers die het Elibomi noemden. De dreiging is gebaseerd op social engineering-tactieken en nep-Android-applicaties om informatie van de slachtoffers te verzamelen en deze te exfiltreren naar servers onder controle van de hackers.

Eerste elibomi-aanval

De eerste aanval met de Elibomi-dreiging vond eind 2020 plaats. De dreigingsactoren leverden een valse 'IT-certificaat'-applicatie aan de apparaten van hun slachtoffers. De bewapende applicatie bootste een IT-certificaatbeheermodule na die pretendeert het apparaat te valideren met een niet-bestaande server. De applicatie vraagt om sms-rechten en beheerdersrechten. Dit laatste wordt waarschijnlijk misbruikt om verwijderingspogingen moeilijker te maken. Terwijl slachtoffers een fictieve 'Security Scan' op de achtergrond krijgen, verzamelt de applicatie gevoelige informatie zoals e-mails, telefoonnummers, opgeslagen SMS/MMS-berichten en meer.

Tweede elibomi-aanval

De meer recente campagne die de Elibomi-dreiging ontplooide, was gericht op Indiase belastingbetalers. De hackers veranderden de identiteit van hun nep-applicatie en het werd nu gepresenteerd als een belastingaangifte-applicatie. De aanval begint met de verspreiding van gerichte sms-berichten die beweren afkomstig te zijn van de Indiase belastingdienst. Om er legitiemer uit te zien, vermelden de lokberichten de namen van de beoogde personen. Het doel in dit stadium is om het slachtoffer op de verstrekte link te laten klikken onder het valse voorwendsel dat er een dringende update is geweest van hun inkomstenbelastingteruggave.

De corrupte links leiden naar een phishing-pagina die opnieuw beweert te behoren tot de Indiase Income Tax Department. De phishing-pagina geeft gebruikers de opdracht om de applicatie te downloaden die de Elibomi-dreiging in het geheim draagt. De naam van het pakket van de bedreigende applicatie volgt het patroon - willekeurig woord.random string.mobile. De infosec-onderzoekers ontdekten dat verschillende versies van de nep-applicatie moesten worden verspreid, waarbij sommige alleen een nep-aanmeldingspagina vertoonden, terwijl andere ook een optie hadden voor nepregistratie en verzoeken om belastingteruggave.

De Elibomi-dreiging legt opnieuw gevoelige gegevens vast van het gecompromitteerde apparaat, evenals alle financiële informatie die het van zijn slachtoffers weet te ontlokken. Het kan e-mails, telefoonnummers, sms-/mms-berichten, financiële gegevens en persoonlijk identificeerbare informatie verkrijgen. Vreemd genoeg werden de verzamelde gegevens geüpload naar servers die openstonden voor internet, waardoor de informatie van het slachtoffer effectief openbaar werd gemaakt. De hackers hebben misschien gemerkt dat hun blunder is ontdekt en dat de verzamelde informatie niet langer beschikbaar is.