LuckyBoy Malware
De LuckyBoy Malware is een Trojaans paard dat de browsers van de gebruiker omleidt naar beschadigde sites, zoals nep-updatedomeinen, en aanvallers informatie geeft om het apparaat in gevaar te brengen. De LuckyBoy Malware richt zich op slachtoffers via malvertising (of 'corrupte advertenties') inhoud voor mobiele en spelomgevingen zoals Android, iOS en Xbox. Eigenaars van risicovolle apparaten kunnen ze beschermen met up-to-date en geloofwaardige beveiligingsoplossingen die bereid zijn om de LuckyBoy Malware te verwijderen en zouden hun websurfen moeten controleren op symptomen van website-omleidingen.
Ongelukkige gamers en telefoonbezitters in de campagne van deze trojan
Hoewel de meeste malware-onderzoekers van Trojaanse paarden de voorkeur geven aan Windows, zijn er uitzonderingen op de regel, zoals de WireLurker Trojan-downloader, de onjuiste naam FakeSpy en het nieuwste geval in kwestie: de LuckyBoy Malware. Met een naam die afkomstig is van zijn uitgebreide anti-detectie-tracking-functies, is de LuckyBoy Malware een sterk verborgen trojan die zich richt op Xbox-gebruikers, Apple's iOS-apparaten zoals iPhones en de besturingssystemen voor mobiele Android-apparaten.
De LuckyBoy Malware-campagne lijkt 'de wateren te testen' met zijn eerste uitstapjes naar semi-beperkte distributie, die op advertenties gebaseerde inhoud gebruikt om gebruikers van de bovengenoemde besturingssystemen te infecteren. Het ontwerp van de LuckyBoy Malware benadrukt het vermijden van detectie, zowel geautomatiseerd als gebruikersgebaseerd, en de drive-by-download-aanvallen kunnen Trojan-blokkerende advertentiebeveiligingsprotocollen omzeilen. Hoewel de DSP-advertentieservers Europees zijn, neigen getroffen gebruikers naar de Canadese of Amerikaanse nationaliteit.
De LuckyBoy Malware dient als een high-end browserkaper die een webbaken in een 1x1 trackingpixelformaat gebruikt om gebruikers om te leiden naar corrupte sites. Voorbeelden van mogelijke omleidingen zijn onder meer het weghalen van gebruikers van een legitieme updatepagina naar een neppagina die een ander Trojaans paard downloadt of van een inlogsite van een bank naar een valse login die de inloggegevens van de gebruiker verzamelt.
Verdere campagnegolven zullen waarschijnlijk het 'bereik' van de LuckyBoy Malware naar slachtoffers verbreden door de gecompromitteerde advertentietags uit te breiden.
Een geluk maken tegen een slechte jongen
De naam van de LuckyBoy Malware komt van de globale functie voor het volgen van variabelen die het gebruikt, die het apparaat continu controleert op virtuele omgevingen, foutopsporingshulpmiddelen en soortgelijke, veelbetekenende tekenen van een analyseomgeving. Het wordt nooit uitgevoerd in een dergelijke omgeving en kan zelfs zijn script stoppen nadat het een tijdje heeft gedraaid. Deze functie is een van de vele elementen die aantonen dat de bedreigingsacteur achter de LuckyBoy Malware, wie ze ook zijn, een niet te verwaarlozen programmeerervaring heeft en een gevestigd belang heeft bij het ontwijken van detectie.
Website-omleidingen zijn niet het enige gevaar in de payload van LuckyBoy Malware. Hoewel malware-analisten nog geen diepgaande backdoor-functies hebben gevonden, stuurt het bepaalde systeeminformatie naar de servers van de aanvallers, zoals landcodes, beschikbaarheid van aanraakinterface en CPU-kernnummers. Dit soort algemene verkenning is vaak een voorbereiding op extra aanvallen die andere bedreigingen op het systeem laten vallen of het apparaat volledig overnemen.
Android-, iOS- en Xbox-gebruikers moeten op advertentie-inhoud letten en, indien nodig voor hun veiligheid, functies voor het blokkeren van advertenties gebruiken. Malware-experts raden gebruikers ook aan om hun respectieve antimalwareservices onmiddellijk bij te werken voor optimale detectiepercentages en om de LuckyBoy Malware zo snel mogelijk te verwijderen.
Binnen de kortste keren maakt de LuckyBoy Malware zichzelf bekend als een krachtpatser van Trojan-engineering die jaagt op gebruikers met gespecialiseerde en vaak informele web-browsing-omgevingen. Ervan uitgaande dat iemands telefoon niet zozeer door Trojaanse paarden in gevaar wordt gebracht als de gemiddelde pc in 2021 gebruikers op grote schaal zou kunnen schaden, afhankelijk van de campagne van deze dreiging.
