სინგაპურში დაფუძნებული კვლევითი Group-IB აღწერს ნათლიას მონსტრის მავნე პროგრამას, რომელიც გამოიყენება 400-ზე მეტი ფინტექს აპლიკაციის, კრიპტო ბირჟისა და საფულეზე 16-ზე მეტ ქვეყანაში.
დაწვრილებით მოხსენება, Group-IB აჩვენებს, რომ ჰაკერებს შეუძლიათ მოიპარონ შესვლის ინფორმაცია ონლაინ ბანკინგისთვის და სხვა ფინანსური მომსახურების ნათლიას მავნე პროგრამის გამოყენებით, რაც მათ საშუალებას აძლევს დაიცალა მსხვერპლის ანგარიშები. გაერთიანებული სამეფოს ფინანსური ინსტიტუტები ყველაზე მეტად დაზარალდნენ 400 მსხვერპლს შორის, თავდასხმები განხორციელდა ბოლო სამი თვის განმავლობაში.
Group-IB-ის მიხედვით, სამიზნეების ნახევარი ფინანსური ინსტიტუტები იყო. 17 იყო დიდ ბრიტანეთში, 49 აშშ-ში, 31 თურქეთში და 30 ესპანეთში. დანარჩენი მსხვერპლი კანადაში, საფრანგეთში, გერმანიაში, იტალიასა და პოლონეთში არიან.
ნათლია ტროას: როგორ მუშაობს
Android banking Trojan არის Anubis-ის განახლებული მემკვიდრე, რომელმაც ასევე დიდი ზიანი მიაყენა ეკოსისტემას 2019 წელს. ამ ორ მავნე პროგრამას შორის მსგავსებაა C2 მისამართის მოპოვების, C2 ბრძანებების შესრულებისა და ეკრანისთვის მოდულების გამოყენების მეთოდები. დაჭერა, მარიონეტულიდა ვებ გაყალბება. თუმცა, აუდიოს ჩაწერის, თქვენი მდებარეობის თვალყურის დევნების და 2-ფაქტორიანი ავტორიზაციის გვერდის ავლით შესაძლებლობა მხოლოდ Godfather მავნე პროგრამაზეა ხელმისაწვდომი.
Godfather მავნე პროგრამა იმალება Android აპლიკაციებში, რომლებიც წარმოდგენილია Play Store-ზე. ტვირთის მავნე კოდი შენიღბულია Google Protect-ის მსგავსი. ეს სერვისი ასკანირებს აპებს შესაძლო სახიფათო ქცევებზე. მომხმარებლის მიერ გაშვების შემდეგ, მავნე პროგრამა ახდენს Google-ის ნამდვილი პროგრამის იმიტაციას. ანიმაცია აჩვენებს „გუგლის დაცვას“, მაგრამ არ არსებობს.
Play Store-დან ვექტორული აპის დაყენებისას მავნე პროგრამა უფლებები თავად შევიდა მსხვერპლის სისტემაში. ის ამყარებს კონტაქტს თავის ბრძანებებთან და საკონტროლო სერვერთან, აგზავნის მსხვერპლის ყველა მონაცემს. სამიზნეებს შეუძლიათ შეამჩნიონ ეს მოვლენები მხოლოდ მას შემდეგ, რაც დაკარგავენ სახსრებს და გაუჭირდებათ ნებართვის მქონე აპლიკაციის ამოღება ან გამორთვა.
არტემ გრიშჩენკო, უმცროსი მავნე პროგრამების ანალიტიკოსი Group-IB-ში, თქვა, რომ ნათლიასა და ანუბისს შორის კავშირები მიუთითებს იმაზე, რომ კიბერკრიმინალები დახვეწილები არიან. საჭიროა დეველოპერებმა და მენეჯერებმა განაახლონ თავიანთი ინფრასტრუქტურა, რადგან ვინც ნათლიას უკან დგას trojan კიდევ შეუძლია მეტი.
კვლევის დასკვნითი ნაწილი ასევე აჩვენებს, რომ ქვეყნები, რომლებსაც კავშირი აქვთ დაშლილ საბჭოთა კავშირთან, მთლიანად არ არიან დაზარალებულთა სიაში და რანგში. ა კოდის ხაზი გავრცელებული ინფორმაციით, ტროას ოპერაციები აჩერებს მას შემდეგ, რაც შეამჩნევს რუსულ, მოლდოვურ, ყირგიზულ, აზერბაიჯანულ, ყაზახურ, სომხურ, ტაჯიკური ან უზბეკური ენებს. მკვლევარები ამტკიცებენ შესაძლებლობას ა კიბერ ომი.
წყარო: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/