Bizarro Banking Trojan

Nowy, wyrafinowany trojan bankowy dla systemu Android jest wykorzystywany przeciwko użytkownikom w Europie i Ameryce Południowej. Zagrożenie zostało nazwane Bizarro i należy do grupy brazylijskich trojanów bankowych. Zamiast działać lokalnie, jak to zwykle bywa, Bizarro został uwolniony na całym świecie, koncentrując się bardziej na użytkownikach z Argentyny, Chile, Niemiec, Francji, Włoch, Hiszpanii i Portugalii.

Celem podmiotu zagrażającego jest uzyskanie danych uwierzytelniających do bankowości internetowej z zainfekowanych urządzeń z Androidem, a także przejęcie portfeli Bitcoin. Ponad 70 banków jest celem trojana Bizarro Banking. Rozprzestrzenia się poprzez pakiety Microsoft Installer, które są dostarczane za pośrednictwem linków w wiadomościach spamowych lub upuszczane przez uzbrojone aplikacje.

Po dostarczeniu Bizarro na urządzenie z Androidem użytkownika, rozpocznie on zabijanie wszystkich aktualnie aktywnych procesów przeglądarki. Celem jest zatrzymanie wszelkich potencjalnych sesji z witrynami bankowymi, które mogą być w tej chwili uruchomione. Ofiara zostanie następnie zmuszona do ponownego wprowadzenia danych logowania do konta bankowego, ale tym razem złośliwe oprogramowanie będzie próbowało zebrać informacje. Aby zwiększyć swoje szanse na sukces, Bizarro podejmuje dodatkowe kroki polegające na wyłączaniu autouzupełniania i generowaniu fałszywych wyskakujących okienek w celu przechwycenia wszelkich kodów uwierzytelniania dwuskładnikowego. Trojan bankowy jest również wyposażony w funkcje przechwytywania ekranu. Najbardziej zagrażającym aspektem, który odróżnia Bizarro od większości innych trojanów bankowych, jest jego pełnoprawny moduł backdoora.

Potężna funkcjonalność backdoora

Moduł backdoora Bizarro może rozpoznać i wykonać ponad 100 różnych poleceń. Jednak tylne drzwi nie aktywują się natychmiast. Czeka, aż zostanie wykryte połączenie z systemem bankowości internetowej, który pasuje do listy zakodowanych na stałe ciągów. Dopiero potem uruchamiane są główne komponenty backdoora. Ogólnie rzecz biorąc, aktor będący zagrożeniem będzie mógł uzyskać dane o systemie ofiary; wyszukiwać, eksfiltrować lub pobierać pliki do systemu; przejąć kontrolę nad urządzeniami wejściowymi, takimi jak mysz lub klawiatura; wyświetlać wiadomości phishingowe, takie jak fałszywe wyskakujące okienka.

Bizarro może pobierać obrazy JPEG zawierające logo banku i instrukcje dla ofiar, aby naśladować wybrane systemy bankowości internetowej. Obrazy są pobierane z serwera Command-and-Control (C2, C&C) i są przechowywane w katalogu profilu użytkownika w postaci zaszyfrowanej. Złośliwe oprogramowanie może również wyświetlać niestandardowe komunikaty. W ten sposób Bizarro może skutecznie zamrozić zaatakowane urządzenie. Podczas wyświetlania niestandardowego komunikatu użytkownicy nie będą mogli go zamknąć ani nawet otworzyć Menedżera zadań. W tym samym czasie ekran będzie wyszarzony, a pasek zadań ukryty.

Wydaje się, że operacja Bizarro jest dość wyrafinowana, ponieważ aktor-groźba zatrudnia różnych współpracowników i mułów do wykonywania różnych czynności. Mogą one obejmować prostą pomoc przy tłumaczeniach po programy prania pieniędzy lub ułatwianie początkowych ataków na urządzenia użytkowników.