Bizarro Banking Trojan

En ny sofistikerad Android-banktrojan utnyttjas mot användare i Europa och Sydamerika. Hotet fick namnet Bizarro och tillhör gruppen brasilianska banktrojaner. Istället för att fungera lokalt som vanligt, släpptes Bizarro globalt med ett högre fokus på användare i Argentina, Chile, Tyskland, Frankrike, Italien, Spanien och Portugal.

Målet för hotaktören är att få inloggningsuppgifter på nätet från de komprometterade Android-enheterna samt kapa Bitcoin-plånböcker. Över 70 banker riktas mot Bizarro Banking Trojan. Det sprider sig via Microsoft Installer-paket som antingen levereras via länkar i skräppost eller släpps av vapenapplikationer.

När Bizarro har levererats till användarens Android-enhet fortsätter den att döda alla för närvarande aktiva webbläsarprocesser. Målet är att stoppa eventuella sessioner med bankwebbplatser som kan köras just nu. Offret tvingas sedan skriva in sina bankuppgifter om igen men den här gången kommer skadlig programvara att försöka skörda information. För att öka sina chanser att lyckas tar Bizarro ytterligare steg för att inaktivera autoslutförande och generera falska popup-fönster för att fånga upp tvåfaktorautentiseringskoder. Bank Trojan kommer också med skärmfångstfunktioner. Den mest hotfulla aspekten och det som skiljer Bizarro från de flesta andra bank-trojaner är dess fullfjädrade bakdörrsmodul.

En kraftfull bakdörrfunktion

Bizarros bakdörrmodul kan känna igen och köra över 100 olika kommandon. Bakdörren aktiveras dock inte omedelbart. Den väntar tills en anslutning till ett nätbanksystem som matchar en lista med hårdkodade strängar har upptäckts. Först därefter aktiveras bakdörrens kärnkomponenter. I allmänhet kommer hotaktören att kunna få information om offrets system; söka efter, exfiltrera eller ladda ner filer till systemet; ta kontroll över inmatningsenheter som en mus eller tangentbord; visa nätfiskemeddelanden som falska popup-fönster.

Bizarro kan ladda ner JPEG-bilder som innehåller vissa banklogotyper och instruktioner för offren för att efterlikna utvalda nätbanksystem. Bilderna hämtas från Command-and-Control (C2, C&C) -servern och lagras i användarens profilkatalog i krypterad form. Skadlig programvara kan också visa anpassade meddelanden. Genom att göra detta kan Bizarro frysa den komprometterade enheten effektivt. Medan det anpassade meddelandet visas kan användarna inte stänga det eller ens öppna Aktivitetshanteraren. Samtidigt blir skärmen nedtonad och aktivitetsfältet dolt.

Bizarro-operationen verkar vara ganska sofistikerad med hotaktören som använder olika dotterbolag och mulor för att utföra olika åtgärder. Dessa kan sträcka sig från enkel hjälp med översättningar till penningtvättsprogram eller underlätta de första attackerna mot användarenheter.