Symantec-beveiligingsonderzoekers hebben een Android-trojan ontdekt die is ontworpen om gebruikers van online bankdiensten te targeten via verschillende phishing-pagina’s die aanvallers verzenden vanaf cloudservers.
Volgens hun bevindingen kopieert de Android.Fakelogin-trojan een legitieme inlogpagina van een bank-app die op het doelapparaat is geïnstalleerd en creëert een valse inlogpagina, in wezen een phishing-pagina, die aanvallers zouden gebruiken om de applicatie te overlappen. legitieme login.
Deze tactiek wordt social engineering genoemd en heeft het potentieel om bankgegevens te extraheren uit een grote demografische groep gebruikers. In tegenstelling tot andere phishing-campagnes die zich voordoen als een legitieme app, bepaalt Android.Fakelogin aan de andere kant eerst wat voor soort bank-app zich op het apparaat bevindt en manoeuvreert vervolgens de gebruikersinterface van de app door deze te overlappen met zijn aangepaste kwaadaardige pagina. .
Android.Fakelogin identificeert welke phishing-pagina moet worden aangepast door een externe command-and-control-server binnen te dringen die cloudgebaseerde logica host. Symantec beweert dat het moeilijk is om malware te reverse-engineeren vanwege de onopvallende manier waarop het werkt.
De Trojan lijkt te werken op oudere versies van Android, met uitzondering van Marshmallow. De malware wordt geleverd als game-apps die als payloads van de downloader-malware worden verzonden om andere malware naar het doelapparaat te sturen.
Zodra de malware is gedownload en op een apparaat is geïnstalleerd, vermomt het zichzelf als een sms-app en dwingt het toestemming om apparaatinstellingen te beheren. Het is moeilijk om de nep-app te detecteren omdat het pictogram verborgen is.
Wanneer de malware de vereiste toestemming kan krijgen, begint het gegevens te stelen na het downloaden van verschillende app-pakketnamen uit de cloud en op te slaan in een zogenaamd voorkeurenbestand. Het bestand wordt gebruikt om de gerichte bank-apps te identificeren, die met geweld worden geïnjecteerd met kwaadaardige inhoud om de phishing-campagne uit te voeren.
Het identificatieproces omvat het zoeken naar de naam van de app die op de telefoon wordt uitgevoerd en als het resultaat een app-naam bevat die wordt vermeld in het voorkeurenbestand, verzendt de malware de naam van het app-pakket naar de cloud om deze na te bootsen.
De aanpak is zeer flexibel omdat deze afhankelijk is van de cloud, wat betekent dat updates niet nodig zijn zoals bij andere malware het geval is om met beveiligingstools om te gaan.
Hoe het beveiligingsprobleem te verminderen?
Er zijn verschillende stappen nodig om toestemming te verkrijgen, zoals tweestapsverificatie, om u tegen deze dreiging te beschermen. Download ook de nieuwe Android 6.0 Marshmallow omdat de functies van Android.Fakelogin er niet op werken. Blijf op de hoogte van uw software en zorg ervoor dat de apps die u installeert afkomstig zijn uit legitieme appstores.
