Elibomi Android Malware

Nowa rodzina złośliwego oprogramowania phishingowego dla systemu Android została zauważona przez cyberprzestępców w atakach na żywo. Zagrożenie zostało odkryte przez badaczy, którzy nazwali je Elibomi. Zagrożenie opiera się na taktykach socjotechniki i fałszywych aplikacjach na Androida, które zbierają informacje od swoich ofiar i eksfiltrują je na serwery pod kontrolą hakerów.

Pierwszy atak Elibomi

Pierwszy atak z udziałem zagrożenia Elibomi miał miejsce pod koniec 2020 r. Przestępcy dostarczyli fałszywą aplikację „certyfikat IT” na urządzenia swoich ofiar. Uzbrojona aplikacja naśladowała moduł zarządzania certyfikatami IT, który udaje walidację urządzenia z nieistniejącym serwerem. Aplikacja prosi o otrzymanie uprawnień SMS, a także uprawnień administratora. Ten ostatni jest prawdopodobnie nadużywany, aby utrudnić wszelkie próby usunięcia. Podczas gdy ofiarom przedstawiany jest fikcyjny „Skan bezpieczeństwa” w tle, aplikacja zbiera poufne informacje, takie jak e-maile, numery telefonów, przechowywane wiadomości SMS/MMS i inne.

Drugi atak Elibomi

Niedawna kampania, w której zastosowano zagrożenie Elibomi, była wymierzona w indyjskich podatników. Hakerzy zmienili tożsamość swojej fałszywej aplikacji i teraz była ona przedstawiana jako aplikacja do rozliczeń podatkowych. Atak rozpoczyna się od rozpowszechniania ukierunkowanych wiadomości SMS, które rzekomo pochodzą z indyjskiego Departamentu Podatków Dochodowych. Aby wyglądać bardziej legalnie, wiadomości z przynętą wymieniają nazwiska osób, których dotyczą. Celem na tym etapie jest skłonienie ofiary do kliknięcia podanego linku pod fałszywym pretekstem, że nastąpiła pilna aktualizacja zwrotu podatku dochodowego.

Uszkodzone linki prowadzą do strony phishingowej, która ponownie twierdzi, że należy do indyjskiego Departamentu Podatku Dochodowego. Strona phishingowa kieruje użytkowników do pobrania aplikacji, która potajemnie przenosi zagrożenie Elibomi. Pakiet aplikacji zagrażającej nosi nazwę zgodnie ze wzorem - random word.random string.imobile. Badacze infosec odkryli kilka wersji fałszywej aplikacji do rozpowszechniania, z których niektóre pokazują jedynie fałszywą stronę logowania, podczas gdy inne mają również opcję fałszywej rejestracji i wniosków o zwrot podatku.

Zagrożenie Elibomi ponownie przechwytuje poufne dane z zaatakowanego urządzenia, a także wszelkie informacje finansowe, które uda mu się uzyskać od swoich ofiar. Może pozyskiwać e-maile, numery telefonów, wiadomości SMS/MMS, dane finansowe i informacje umożliwiające identyfikację. Co dziwne, zebrane dane były przesyłane na serwery, które były otwarte w Internecie, skutecznie eksponując informacje ofiary opinii publicznej. Hakerzy mogli zauważyć, że ich błąd został wykryty, a zebrane informacje nie są już dostępne.