Trojan bankowy TsarBot

Nowo odkryte złośliwe oprogramowanie na Androida, TsarBot, stało się poważnym zagrożeniem cybernetycznym. To złośliwe oprogramowanie, atakujące ponad 750 aplikacji w sektorach bankowości, finansów, kryptowalut i e-commerce, stanowi poważne zagrożenie dla poufnych danych użytkowników.

Jak TsarBot zbiera Twoje dane

TsarBot to wyrafinowany bankowy trojan, który wykorzystuje ataki nakładkowe w celu kradzieży danych bankowych, danych logowania i informacji o kartach kredytowych. Działając w wielu regionach — w tym w Ameryce Północnej, Europie, Azji i Pacyfiku oraz na Bliskim Wschodzie — TsarBot wykorzystuje oszukańcze taktyki, aby infiltrować urządzenia i bezproblemowo wydobywać dane.

Jak rozprzestrzenia się TsarBot: pułapki i sztuczki

TsarBot rozprzestrzenia się głównie za pośrednictwem złośliwych witryn internetowych podszywających się pod platformy finansowe. Znaczącym przykładem jest fałszywa wersja zdecentralizowanej platformy handlowej Photon SOL, która oszukuje użytkowników, aby pobrali fałszywą aplikację handlową. Ponadto w jego dystrybucji znaczącą rolę odgrywają taktyki phishingu i inżynierii społecznej.

Malware, taki jak TsarBot, jest często osadzony w pozornie nieszkodliwej treści, docierając do użytkowników poprzez pobieranie drive-by, malvertising, taktyki online, podejrzane źródła pobierania, wiadomości spamowe, fałszywe aktualizacje i pirackie treści. Niektóre warianty mogą nawet rozprzestrzeniać się samodzielnie przez sieci lokalne i dyski USB, co sprawia, że są jeszcze trudniejsze do powstrzymania.

Jak działa TsarBot: Mistrz oszustwa

Po zainstalowaniu — często zamaskowanym jako Google Play Services — TsarBot wykonuje atak nakładkowy, wyświetlając fałszywe ekrany logowania nad legalnymi aplikacjami. Pozwala mu to zbierać dane logowania bez wzbudzania podejrzeń.

Oprócz ataków typu overlay, TsarBot wykorzystuje zaawansowane techniki, takie jak nagrywanie ekranu, zdalne sterowanie zainfekowanymi urządzeniami i mechanizmy przechwytywania blokad, które przechwytują kody PIN i hasła za pomocą fałszywych ekranów blokady. Może również symulować działania użytkownika, takie jak przesuwanie i stukanie, jednocześnie ukrywając swoje działania za pomocą czarnego ekranu nakładki.

Połączenie C&C (Command-and-Control)

TsarBot komunikuje się ze swoim serwerem Command-and-Control (C&C) za pośrednictwem połączeń WebSocket, które umożliwiają kradzież danych w czasie rzeczywistym i działania oszukańcze. Połączenia te umożliwiają złośliwemu oprogramowaniu manipulowanie ekranami, wykonywanie gestów i interakcję z docelowymi aplikacjami.

Malware utrzymuje aktualną listę docelowych aplikacji, w tym platform bankowych z Indii, Francji, Polski i Australii, handlu kryptowalutami i aplikacji mediów społecznościowych. Gdy użytkownicy wchodzą w interakcję z tymi aplikacjami, TsarBot nakłada fałszywą stronę phishingową, aby zebrać dane uwierzytelniające, przesyłając zebrane dane z powrotem do swojego serwera C&C.

Jak zachować bezpieczeństwo przed TsarBotem

Aby chronić się przed zagrożeniami takimi jak TsarBot, eksperci ds. cyberbezpieczeństwa zalecają:

• Unikanie niepewnych źródeł aplikacji i sklepów zewnętrznych
• Zachowaj ostrożność w przypadku linków phishingowych i podejrzanych witryn internetowych
• Włączanie Google Play Protect w celu zwiększenia bezpieczeństwa
• Regularne aktualizowanie urządzeń w celu łatania luk w zabezpieczeniach
• Powstrzymywanie się od pobierania pirackiego lub zhakowanego oprogramowania

Ponieważ trojany bankowe na Androidzie stają się coraz bardziej wyrafinowane, użytkownicy muszą zachować czujność i podejmować proaktywne środki bezpieczeństwa w celu ochrony swoich danych.