TsarBot Banking Trojan

Ang isang bagong natuklasang Android malware, ang TsarBot, ay lumitaw bilang isang makabuluhang banta sa cyber. Tina-target ang mahigit 750 application sa mga sektor ng pagbabangko, pananalapi, cryptocurrency, at e-commerce, ang malware na ito ay nagdudulot ng malubhang panganib sa sensitibong data ng mga user.

Paano Kinukuha ng TsarBot ang Iyong Data

Ang TsarBot ay isang sopistikadong Trojan sa pagbabangko na gumagamit ng mga overlay na pag-atake upang magnakaw ng mga detalye ng pagbabangko, mga kredensyal sa pag-log in at impormasyon ng credit card. Gumagana sa maraming rehiyon—kabilang ang North America, Europe, Asia-Pacific, at Middle East—Gumagamit ang TsarBot ng mga mapanlinlang na taktika para makalusot sa mga device at makakuha ng data nang walang putol.

Paano Kumakalat ang TsarBot: Mga Traps at Trick

Pangunahing kumakalat ang TsarBot sa pamamagitan ng mga nakakahamak na website na itinago bilang mga platform sa pananalapi. Kasama sa isang kapansin-pansing halimbawa ang isang pekeng bersyon ng desentralisadong platform ng kalakalan ng Photon SOL, na nanlilinlang sa mga user sa pag-download ng isang mapanlinlang na trading app. Bukod pa rito, ang mga taktika ng phishing at social engineering ay may mahalagang papel sa pamamahagi nito.

Ang malware tulad ng TsarBot ay madalas na naka-embed sa tila hindi nakakapinsalang content, na umaabot sa mga user sa pamamagitan ng drive-by na pag-download, malvertising, online na taktika, kahina-hinalang pinagmumulan ng pag-download, spam email, pekeng update at pirated na content. Ang ilang mga variant ay maaari ring magpalaganap sa sarili sa pamamagitan ng mga lokal na network at USB drive, na ginagawang mas mahirap itong itago.

Paano Gumagana ang TsarBot: Isang Master ng Panlilinlang

Kapag na-install na—kadalasang itinago bilang Mga Serbisyo ng Google Play—nagsasagawa ang TsarBot ng overlay na pag-atake sa pamamagitan ng pagpapakita ng mga pekeng screen sa pag-log in sa mga lehitimong application. Nagbibigay-daan ito upang mangolekta ng mga kredensyal sa pag-log in nang hindi nagtataas ng hinala.

Higit pa sa mga overlay na pag-atake, gumagamit ang TsarBot ng mga advanced na diskarte gaya ng pag-record ng screen, remote control ng mga nahawaang device, at mga mekanismo ng lock-grabbing na kumukuha ng mga PIN at password gamit ang mga pekeng lock screen. Maaari din nitong gayahin ang mga pagkilos ng user tulad ng pag-swipe at pag-tap habang itinatago ang mga aktibidad nito gamit ang isang itim na overlay na screen.

Ang Command-and-Control (C&C) na Koneksyon

Nakikipag-ugnayan ang TsarBot sa Command-and-Control (C&C) server nito sa pamamagitan ng mga koneksyon sa WebSocket, na nagbibigay-daan sa real-time na pagnanakaw ng data at mga mapanlinlang na aktibidad. Ang mga koneksyon na ito ay nagbibigay-daan sa malware na manipulahin ang mga screen, magsagawa ng mga galaw at makipag-ugnayan sa mga naka-target na application.

Ang malware ay nagpapanatili ng na-update na listahan ng mga naka-target na application, kabilang ang mga banking platform mula sa India, France, Poland, at Australia, cryptocurrency trading, at mga social media application. Kapag ang mga user ay nakikipag-ugnayan sa mga application na ito, ang TsarBot ay nag-o-overlay ng isang pekeng pahina ng phishing upang makakuha ng mga kredensyal, na nagpapadala ng nakolektang data pabalik sa server ng C&C nito.

Paano Manatiling Ligtas mula sa TsarBot

Upang maprotektahan laban sa mga banta tulad ng TsarBot, inirerekomenda ng mga eksperto sa cybersecurity:

• Pag-iwas sa mga hindi pinagkakatiwalaang source ng app at mga third-party na tindahan
• Ang pagiging maingat sa mga link sa phishing at mga kahina-hinalang website
• Paganahin ang Google Play Protect para sa karagdagang seguridad
• Regular na nag-a-update ng mga device para mag-patch ng mga kahinaan
• Pag-iwas sa pag-download ng pirated o crack na software

Habang nagiging mas sopistikado ang mga Android banking Trojans, dapat manatiling mapagbantay ang mga user at gumawa ng mga proactive na hakbang sa seguridad upang mapangalagaan ang kanilang data.