Android-apparaten zijn het meest voorkomende en favoriete doelwit van malware zoals Trojaanse paarden vanwege het ontbreken van een gecentraliseerd mechanisme voor het implementeren van updates en beveiligingsoplossingen in het ecosysteem.
Maar in tegenstelling tot de meeste trojans die zich in het verleden op Android-telefoons richtten, verhoogt een nieuwe trojan voor mobiel bankieren zijn niveau van verfijning met nieuwe mogelijkheden om verwijderingspogingen te trotseren en tweefactorauthenticatie te omzeilen. ESET-beveiligingsonderzoekers waren de eersten die de trojan ontdekten die uw echte identiteit verbergt onder het mom van een app voor mobiel bankieren. Het werkt eigenlijk om inloggegevens voor mobiel bankieren te stelen en gevoelige gegevens te stelen.
Banken in Nieuw-Zeeland, Australië en Turkije waren de eersten die de Trojan aan het werk zagen, omdat hun klanten het doelwit waren van de malware. De trojan is ontworpen om de op FlashPlayer gebaseerde mobiele applicatie van een bank te kopiëren om de beoogde slachtoffers te misleiden. Naast het repliceren van de mobiele app, omzeilt het Trojaanse paard ook extra beveiligingslagen, zoals tweefactorauthenticatie.
Vanwege het bijna naadloze uiterlijk van de bank-app, zou een gebruiker ervan overtuigd zijn om deze beheerdersrechten te verlenen zodra deze is gedownload en op het apparaat is geïnstalleerd. Het verzoek om beheerdersrechten is de eerste poging van de Trojan om zichzelf te verdedigen tegen toekomstige verwijderingspogingen, omdat het dan verborgen is voor het zicht van de eigenaar. Volgens ESET-onderzoekers maken beheerdersrechten het moeilijk om de Trojan te verwijderen.
De malware blijft het Flash Player-pictogram uit de bank van het apparaat verwijderen voordat de trojan contact opneemt met de command and control-server om basistelefoongegevens zoals IMEI-nummer, model, software development kit-versie en aanvullende informatie te verzenden over of de apparaatbeheerder actief is.
Zodra die gegevens naar de command and control-server zijn verzonden, verzamelt de aanvaller gegevens over de apps die op het apparaat zijn geïnstalleerd voordat hij een valse inlogpagina van een bankbedrijf vervalst die als aanvalsvector zal dienen. Zodra dit is gebeurd, verzamelt de Trojan andere gevoelige persoonlijke gegevens, zoals informatie over het Google-account van een gebruiker. De gebruiker kan de valse inlogpagina alleen verwijderen door de inloggegevens in te voeren.
Wanneer de trojan de volledige procedure voltooit om zijn aanval uit te voeren, kan de malware zelfs de veiligste beveiligingsprotocollen omzeilen die tegenwoordig door bedrijven worden gebruikt, zoals tweefactorauthenticatie waarbij een sms naar de gebruiker wordt verzonden. voor verdere verificatie. Wanneer de eigenaar de app probeert te verwijderen, waarschuwen beveiligingsexperts dat sommige gegevens kunnen worden verwijderd of dat het apparaat zelfs kan worden uitgeschakeld.
