Bizarro Banking Trojan

Avrupa ve Güney Amerika'daki kullanıcılara karşı yeni bir sofistike Android bankacılık Truva Atı kullanılıyor. Tehdit Bizarro olarak adlandırıldı ve Brezilya bankacılık Truva atları grubuna ait. Bizarro, genellikle olduğu gibi yerel olarak çalışmak yerine, Arjantin, Şili, Almanya, Fransa, İtalya, İspanya ve Portekiz'de bulunan kullanıcılara daha fazla odaklanarak küresel olarak serbest bırakıldı.

Tehdit aktörünün amacı, ele geçirilmiş Android cihazlardan çevrimiçi bankacılık kimlik bilgilerini elde etmek ve Bitcoin cüzdanlarını ele geçirmektir. Bizarro Banking Truva Atı tarafından 70'in üzerinde banka hedefleniyor. İstenmeyen e-postalardaki bağlantılar aracılığıyla gönderilen veya silahlı uygulamalar tarafından bırakılan Microsoft Installer paketleri aracılığıyla yayılır.

Bizarro, kullanıcının Android cihazına teslim edildiğinde, şu anda aktif olan tüm tarayıcı işlemlerini sonlandırmaya devam edecektir. Amaç, şu anda çalışmakta olan bankacılık web sitelerindeki olası oturumları durdurmaktır. Kurban daha sonra bankacılık kimlik bilgilerini tekrar girmek zorunda kalacak, ancak bu sefer kötü amaçlı yazılım bilgi toplamaya çalışacak. Başarı şansını artırmak için Bizarro, otomatik tamamlamayı devre dışı bırakma ve iki faktörlü kimlik doğrulama kodlarını engellemek için sahte açılır pencereler oluşturma gibi ek adımlar atıyor. Bankacılık Truva Atı ayrıca ekran yakalama yetenekleriyle birlikte gelir. En tehdit edici yönü ve Bizarro'yu diğer bankacılık Truva atlarının çoğundan ayıran şey, tam teşekküllü arka kapı modülüdür.

Güçlü Bir Arka Kapı İşlevselliği

Bizarro'nun arka kapı modülü 100'den fazla farklı komutu tanıyabilir ve çalıştırabilir. Yine de arka kapı hemen etkinleşmiyor. Sabit kodlanmış dizeler listesiyle eşleşen bir çevrimiçi bankacılık sistemine bağlantı algılanana kadar bekler. Ancak daha sonra arka kapının temel bileşenleri etkinleştirilir. Genel olarak, tehdit aktörü mağdurun sistemi hakkında veri elde edebilecektir; dosyaları aramak, dışarı sızmak veya sisteme indirmek; fare veya klavye gibi giriş aygıtlarını kontrol edin; sahte açılır pencereler gibi kimlik avı iletilerini görüntüleyin.

Bizarro, kurbanların seçilen çevrimiçi bankacılık sistemlerini taklit etmeleri için belirli banka logolarını ve talimatları içeren JPEG görüntüleri indirebilir. Görüntüler Komut ve Kontrol (C2, C&C) sunucusundan alınır ve şifreli bir biçimde kullanıcının profil dizininde saklanır. Kötü amaçlı yazılım ayrıca özel mesajlar da gösterebilir. Bunu yaparak Bizarro, tehlike altındaki cihazı etkili bir şekilde dondurabilir. Özel mesaj görüntülenirken, kullanıcılar onu kapatamayacak ve hatta Görev Yöneticisini açamayacaktır. Aynı zamanda, ekran griye dönecek ve görev çubuğu gizlenecektir.

Bizarro operasyonu, tehdit aktörünün farklı eylemleri gerçekleştirmek için çeşitli bağlı kuruluşlar ve katırlar çalıştırmasıyla oldukça karmaşık görünüyor. Bunlar, çevirilerle ilgili basit yardımdan kara para aklama planlarına veya kullanıcı cihazlarına yönelik ilk saldırıları kolaylaştırmaya kadar değişebilir.