Банковский троян Bizarro

Новый изощренный банковский троян для Android используется против пользователей в Европе и Южной Америке. Угроза получила название Bizarro и принадлежит к группе бразильских банковских троянцев. Вместо того, чтобы работать локально, как это обычно бывает, Bizarro был запущен глобально с повышенным вниманием к пользователям, расположенным в Аргентине, Чили, Германии, Франции, Италии, Испании и Португалии.

Цель злоумышленника - получить учетные данные онлайн-банкинга со скомпрометированных устройств Android, а также захватить биткойн-кошельки. Банковский троян Bizarro стал мишенью для более 70 банков. Он распространяется через пакеты установщика Microsoft, которые либо доставляются по ссылкам в спам-письмах, либо сбрасываются приложениями, использующими оружие.

Как только Bizarro будет доставлен на устройство Android пользователя, он продолжит уничтожать все активные в данный момент процессы браузера. Цель состоит в том, чтобы остановить любые потенциальные сеансы с банковскими веб-сайтами, которые могут быть запущены в данный момент. Затем жертва будет вынуждена снова ввести свои банковские реквизиты, но на этот раз вредоносная программа попытается собрать информацию. Чтобы увеличить свои шансы на успех, Bizarro предпринимает дополнительные шаги по отключению автозаполнения и созданию поддельных всплывающих окон для перехвата любых кодов двухфакторной аутентификации. Банковский троянец также поддерживает захват экрана. Самым опасным аспектом, который отличает Bizarro от большинства других банковских троянцев, является его полноценный бэкдор-модуль.

Мощный бэкдор

Модуль бэкдора Bizarro может распознавать и выполнять более 100 различных команд. Однако бэкдор активируется не сразу. Он ожидает, пока не будет обнаружено соединение с системой онлайн-банкинга, соответствующее списку жестко заданных строк. Только после этого активируются основные компоненты бэкдора. Как правило, злоумышленник сможет получить данные о системе жертвы; искать, извлекать или загружать файлы в систему; взять под контроль устройства ввода, такие как мышь или клавиатура; отображать фишинговые сообщения, например фальшивые всплывающие окна.

Bizarro может загружать изображения в формате JPEG, содержащие определенные логотипы банков и инструкции для жертв, имитирующие выбранные системы онлайн-банкинга. Изображения загружаются с сервера Command-and-Control (C2, C&C) и хранятся в каталоге профиля пользователя в зашифрованном виде. Вредоносная программа также может отображать настраиваемые сообщения. Таким образом Bizarro может эффективно заблокировать взломанное устройство. Пока отображается настраиваемое сообщение, пользователи не смогут закрыть его или даже открыть диспетчер задач. При этом экран станет серым, а панель задач скрыта.

Операция Бизарро кажется довольно сложной, поскольку злоумышленник использует различных аффилированных лиц и мулов для выполнения различных действий. Они могут варьироваться от простой помощи с переводом до схем отмывания денег или облегчения первоначальных атак на пользовательские устройства.