ThiefBot

ThiefBot is een trojan voor Android-bankieren die is ontworpen voor gebruikers die zich voornamelijk in Turkije bevinden. Deze specifieke malwarebedreiging wordt geadverteerd en verkocht op ondergrondse hackerforums.

Om niet te verdacht over te komen, vermomt ThiefBot zichzelf als een Google Play Store-applicatie die, na installatie, onmiddellijk om alle soorten toestemmingen begint te vragen. ThiefBot wil dat gebruikers het toestaan om sms-berichten te lezen, verzenden en ontvangen, en om toegang te krijgen tot de opslag van het apparaat, telefooncontacten en camera. ThiefBot wil ook toestemming om de toegankelijkheidsservice op het gecompromitteerde apparaat in te schakelen. Als het lukt, somt ThiefBot het apparaat op en downloadt het een zip-bestand met de naam ' inj.zip ' van zijn Command-and-Control (C2) -server.

ThiefBot richt zich op verschillende Turkse applicaties en banken

Om inloggegevens te verzamelen, gebruikt ThiefBot overlay-aanvallen die de bankreferenties en creditcard- / betaalpasgegevens van de gebruikers verzamelen en deze vervolgens via POST-verzoeken naar de C2-infrastructuur sturen. Een van de applicaties waarop ThiefBot zich richt, is voor de in Turkije gevestigde Papara Payment Service.

Bovendien kan ThiefBot opdrachten ontvangen om tal van bedreigende acties uit te voeren. Het kan de applicatiegegevens van het gecompromitteerde apparaat, de contactenlijst en sms-berichten verzamelen. ThiefBot kan ook fungeren als schermvergrendeling door een specifiek bericht op het scherm van het apparaat weer te geven. ThiefBot kan zichzelf verspreiden door misleidende aangepaste berichten te sturen naar de contacten die op het geïnfecteerde apparaat zijn gevonden in een poging om de nietsvermoedende gebruikers te overtuigen de bedreigende applicatie te downloaden en te installeren.

Om de campagne te beheren en commando's te geven aan specifieke slachtoffers, hebben de makers van ThiefBot hun malwarebedreiging uitgerust met een admin-paneel.