ThiefBot

ThiefBot to trojan bankowy dla systemu Android, którego celem jest przede wszystkim atakowanie użytkowników znajdujących się w Turcji. To konkretne zagrożenie złośliwym oprogramowaniem jest reklamowane i sprzedawane na podziemnych forach hakerów.

Aby nie wyglądać na zbyt podejrzanego, ThiefBot przebiera się za aplikację sklepu Google Play, która po instalacji zaczyna natychmiast prosić o wszystkie rodzaje uprawnień. ThiefBot chce, aby użytkownicy zezwalali mu na odczytywanie, wysyłanie i odbieranie wiadomości SMS, a także dostęp do pamięci urządzenia, kontaktów telefonicznych i aparatu. ThiefBot chce też mieć pozwolenie na włączenie usługi ułatwień dostępu na zaatakowanym urządzeniu. Jeśli operacja się powiedzie, ThiefBot wylicza urządzenie i pobiera plik zip o nazwie „ inject.zip ” ze swojego serwera Command-and-Control (C2).

ThiefBot atakuje kilka tureckich aplikacji i banków

Aby zebrać dane uwierzytelniające, ThiefBot wykorzystuje ataki typu overlay, które zbierają poświadczenia bankowe i dane kart kredytowych / debetowych użytkowników, a następnie wysyłają je do infrastruktury C2 za pomocą żądań POST. Jedna z aplikacji kierowanych przez ThiefBot jest przeznaczona dla usługi płatności Papara z siedzibą w Turcji.

Ponadto ThiefBot może otrzymywać polecenia wykonywania wielu groźnych działań. Może gromadzić dane aplikacji z zainfekowanego urządzenia, listę kontaktów i wiadomości SMS. ThiefBot może również działać jako blokada ekranu, wyświetlając określony komunikat na ekranie urządzenia. ThiefBot może się rozprzestrzeniać, wysyłając wprowadzające w błąd niestandardowe wiadomości do kontaktów znalezionych na zainfekowanym urządzeniu, próbując przekonać niczego niepodejrzewających użytkowników do pobrania i zainstalowania aplikacji stanowiącej zagrożenie.

Aby zarządzać kampanią i wydawać polecenia konkretnym ofiarom, twórcy ThiefBot wyposażyli swoje zagrożenie malware w panel administracyjny.