Alien Malware
Badacze bezpieczeństwa odkryli nowy szczep złośliwego oprogramowania typu trojan dla Androida. Nazwali to złośliwe oprogramowanie pod nazwą Alien i udało im się przeanalizować jego kod źródłowy, aby lepiej zrozumieć jego zachowanie i sposób działania. Najpierw jednak należy zauważyć, że złośliwe oprogramowanie Alien jest oferowane jako Malware-as-a-Service (MaaS) na podziemnych forach hakerskich. W rezultacie nie można było ustalić konkretnej metody dystrybucji i wektora ataku, ponieważ oba zależą od preferencji każdej grupy hakerów. Mimo to wydaje się, że najczęstszymi metodami są strony phishingowe, które oferują fałszywe aplikacje związane z Corona lub fałszywe aktualizacje oprogramowania. Inną wykorzystywaną metodą dystrybucji jest SMS - Alien zbiera listę kontaktów zainfekowanego urządzenia i wykorzystuje ją do dalszego rozprzestrzeniania swojej groźnej kampanii.
Obcy zajmuje przestrzeń pozostawioną przez Cerberusa
Przyglądając się kodowi Obcego, eksperci infosec zauważyli, że znaczna jego część przypomina inny złośliwy program, który był oferowany jako MaaS o nazwie Cerberus. Cerberus zyskał rozgłos w 2019 roku, ale jego działalność gwałtownie spadła, gdy Google zdołał opracować sposób zarówno wykrywania złośliwego oprogramowania, jak i czyszczenia każdego zainfekowanego przez niego urządzenia. Kiedy to się stało, hakerzy stojący za Cerberusem postanowili zdobyć jak najwięcej pieniędzy i zaproponowali sprzedaż kodu szkodliwego oprogramowania na aukcji, której celem było osiągnięcie 100 000 USD. Kiedy ten plan się nie powiódł, kod źródłowy Cerberusa został po prostu za darmo przeciekany do sieci. aby każdy cyberprzestępca miał teraz do niego dostęp.
Chociaż Alien wydaje się być oparty na starszym wariancie Cerberusa, wydaje się, że jest w stanie bezproblemowo wykonywać swoją groźną działalność. W rzeczywistości jest znacznie bardziej wyrafinowany niż jego poprzednik i może pochwalić się wieloma nowymi ukrytymi możliwościami, a także rozszerzoną listą celów.
Alien może zbierać dane uwierzytelniające dla ponad 200 aplikacji
Zasadniczo Alien Malware jest trojanem bankowym. Próbuje zebrać dane uwierzytelniające dla 226 aplikacji, pokazując użytkownikom fałszywe strony logowania, które zbierają nazwy użytkowników, hasła i inne dane logowania. Większość aplikacji była przeznaczona dla usług handlu elektronicznego i banków, ale Alien jest również skierowany do platform mediów społecznościowych, takich jak Gmail, Facebook, Telegram, Twitter, Snapchat i WhatsApp. Ponadto odkryto, że wśród celów tego zagrożenia złośliwym oprogramowaniem znalazły się również różne aplikacje kryptowalutowe. Spośród aplikacji bankowych, do których wyłudzał informacje Alien, większość znajdowała się w Hiszpanii, Turcji, Niemczech i Stanach Zjednoczonych. Kolejnymi trzema krajami były Włochy, Francja i Polska.
Oprócz możliwości gromadzenia danych, takich jak nakładanie treści na inne aplikacje i rejestrowanie danych wejściowych z klawiatury, Alien został wyposażony w kilka nieprzyjemnych funkcji zdalnego dostępu. Może uruchomić instancję TeamViewer na zainfekowanym urządzeniu, co daje hakerom większą kontrolę nad docelowym urządzeniem. Należy pamiętać, że przestępcy mogli już zebrać kilka danych logowania użytkownika, których można by użyć w połączeniu z możliwością instalowania i uruchamiania innych aplikacji przez Alien.
Ogromna liczba funkcji wykonywanych przez zagrożenie złośliwym oprogramowaniem obejmuje również zbieranie list kontaktów, zbieranie, odczytywanie i wysyłanie wiadomości SMS, przechwytywanie kodów 2FA czy uruchamianie aplikacji przeglądarki w celu otwarcia określonych stron.
Alien Malware to potężne zagrożenie trojanem dla Androida, które może spowodować poważne szkody po zainfekowaniu urządzenia. Najlepszym sposobem, aby temu zapobiec i zapewnić sobie bezpieczeństwo, jest zablokowanie ataku poprzez zwrócenie uwagi na źródła pobierania dowolnej aplikacji, którą zdecydujesz się zainstalować.
