Οι χάκερ παίρνουν νόμιμες τραπεζικές εφαρμογές και τις απομεταγλωττίζουν για να προσθέσουν κακόβουλο κώδικα και στη συνέχεια τις διαδίδουν μέσω κοινών σχημάτων απειλών, όπως θέλγητρα ηλεκτρονικού ψαρέματος και ψεύτικους ιστότοπους που μοιάζουν με ψεύτικους ιστότοπους. Σύμφωνα με ερευνητές στο Group-IBαυτές οι δηλητηριασμένες εφαρμογές ενδέχεται να συνδέονται με την ομάδα GoldFactory, η οποία είναι επίσης γνωστή για την κλοπή δεδομένων αναγνώρισης προσώπου.
Αυτή η εκστρατεία κακόβουλου λογισμικού τους επέτρεψε όχι μόνο να εκθέσουν χιλιάδες άτομα σε τραπεζική απάτη, αλλά και να αποκτήσουν τον πλήρη έλεγχο μιας μολυσμένης συσκευής. Οι εισβολείς προσθέτουν επίσης trojans ή backdoors στις εφαρμογές και συνολικά, το Group-IB βρήκε 27 πρωτότυπες τραπεζικές εφαρμογές που είχαν παραβιαστεί μέχρι στιγμής. Αφού εισαγάγουν κακόβουλο κώδικα σε μια εφαρμογή, οι χάκερ που βρίσκονται πίσω από αυτήν την καμπάνια θα μιμηθούν μια κυβερνητική υπηρεσία ή υπηρεσία μέσω τακτικών smishing, phishing ή κοινωνικής μηχανικής, έτσι ώστε τα πιθανά θύματα να παραπλανηθούν και να επισκεφτούν έναν ιστότοπο που μιμείται έναν πραγματικό κυβερνητικό ιστότοπο.
Το θύμα μπορεί να λάβει οδηγίες να δανειστεί μια συσκευή Android για να ολοκληρώσει τη διαδικασία ή να δοθεί ένας σύνδεσμος σε έναν ιστότοπο που μοιάζει με τον πραγματικό Google Play Store, αλλά χρησιμοποιείται για την παράδοση ενός αρχείου APK. Δυστυχώς, επειδή η ψεύτικη εφαρμογή συμπεριφέρεται με τον ίδιο τρόπο όπως η νόμιμη εφαρμογή, το θύμα δεν συνειδητοποιεί ότι δεν αλληλεπιδρά με μια κανονική κρατική υπηρεσία ή επιχείρηση.
Μόλις ολοκληρωθεί η λήψη, ζητείται από το θύμα να ενεργοποιήσει έναν αριθμό περιττών αδειών στη συσκευή του. Αυτό επιτρέπει στους παράγοντες της απειλής να κλέψουν τα διαπιστευτήρια σύνδεσης ενός θύματος, καθώς και να παρακολουθούν τη δραστηριότητά του, να διαπράττουν οικονομική απάτη και ακόμη και να καταλαμβάνουν τη συσκευή τους. Η ομάδα μπορεί να αφαιρέσει ίχνη της δραστηριότητάς της αφού ολοκληρώσει και αυτές τις κακόβουλες συμπεριφορές.
Το Group-IB επισημαίνει ότι το GoldFactory χρησιμοποιεί «προηγμένες οικογένειες κακόβουλου λογισμικού αγκίστρωσης» – που ονομάζονται SkyHook, FriHook, PineHook ή Gigabug και μπορούν να παρακάμψουν πολλούς ενσωματωμένους ελέγχους ακεραιότητας εφαρμογών για να κρύψουν τις κακόβουλες συμπεριφορές τους. Αυτές οι οικογένειες κακόβουλου λογισμικού μπορούν επίσης να επιτρέψουν στους εισβολείς να καταγράφουν ευαίσθητα δεδομένα, να αυτοματοποιούν τις ενέργειες στην οθόνη και ακόμη και να προβάλλουν και να χειρίζονται εξ αποστάσεως το τηλέφωνο των θυμάτων.
Ενώ τα θύματα μέχρι στιγμής έχουν συγκεντρωθεί στις περιοχές στις οποίες δραστηριοποιείται συνήθως το GoldFactory – Βιετνάμ, Ταϊλάνδη και Ινδονησία – η προσέγγιση θα μπορούσε εύκολα να αναπτυχθεί σε άλλες χώρες όπως οι ΗΠΑ ή το Ηνωμένο Βασίλειο
Πώς να παραμείνετε ασφαλείς από κακόβουλο λογισμικό
Ευτυχώς, αυτή η καμπάνια δεν είναι πολύ διαδεδομένη – ακόμα. Ωστόσο, όπως συμβαίνει με τις περισσότερες εκστρατείες phishing, vishing και smishing, ο καλύτερος τρόπος για να προστατευτείτε είναι να παραμείνετε ήρεμοι και να σκεφτείτε κριτικά για τα μηνύματα που λαμβάνετε. Να είστε εξαιρετικά καχύποπτοι για τυχόν μηνύματα από κυβερνητική υπηρεσία ή υπηρεσία που φτάνουν μέσω μη επίσημων καναλιών. Η εταιρεία ηλεκτρισμού σας συνήθως σας στέλνει μηνύματα κειμένου; Είναι φυσιολογικό το Υπουργείο Υγείας να επικοινωνεί μαζί σας μέσω της κινητής συσκευής σας;
Με οποιοδήποτε απροσδόκητο μήνυμα, οι κανόνες παραμένουν πάντα οι ίδιοι: Ποτέ μα ποτέ μην κάνετε κλικ σε οποιονδήποτε σύνδεσμο ή κωδικό σε ένα μήνυμα, εάν δεν γνωρίζετε ποιος το στέλνει. Μην κάνετε λήψη τίποτα εάν δεν γνωρίζετε ποιος το στέλνει και δεν το έχετε επαληθεύσει. Εάν κάποιος επικοινωνεί μαζί σας ζητώντας να κατεβάσετε κάτι, κλείστε το τηλέφωνο ή μην απαντήσετε στο κείμενο και επικοινωνήστε με αυτό το γραφείο ανεξάρτητα και επαληθεύστε ότι το αίτημα είναι νόμιμο.
Ομοίως, θέλετε πάντα να ελέγχετε τις διευθύνσεις URL των ιστότοπων που επισκέπτεστε ή να τις εισάγετε χειροκίνητα στον εαυτό σας για να βεβαιωθείτε ότι πηγαίνετε στον σωστό ιστότοπο. Πάντα βεβαιωθείτε ότι έχετε το το καλύτερο λογισμικό προστασίας από ιούς που λειτουργεί και λειτουργεί στις συσκευές σας, καθώς τα περισσότερα από αυτά διαθέτουν λειτουργίες που θα σας ειδοποιήσουν εάν επισκεφτείτε έναν ύποπτο ιστότοπο ή επιχειρήσετε να κάνετε λήψη ενός προγράμματος που δεν είναι νόμιμο. Έχουν επίσης πρόσθετες λειτουργίες όπως VPN, επαναφορά ransomware και άλλα που μπορούν να σας βοηθήσουν να παραμείνετε ασφαλείς όταν συνδέεστε στο διαδίκτυο.
Αυτή η καμπάνια μπορεί να περιορίζεται σε πολλές χώρες της Νοτιοανατολικής Ασίας τώρα, αλλά δεδομένου του πόσο επιτυχημένη ήταν μέχρι στιγμής, μπορούσα εύκολα να τη δω να εξαπλώνεται. Για αυτόν τον λόγο, θέλετε να βεβαιωθείτε ότι ακολουθείτε πάντα καλή υγιεινή στον κυβερνοχώρο και ότι είστε ιδιαίτερα επιφυλακτικοί με ανεπιθύμητα μηνύματα που ισχυρίζονται ότι προέρχονται από κυβερνητική υπηρεσία ή επιχείρηση. Με αυτόν τον τρόπο, μπορείτε να αποφύγετε να πέσετε θύματα αυτής της νέας καμπάνιας κακόβουλου λογισμικού, εάν τελικά εξαπλωθεί σε άλλες χώρες.
Ακολουθώ Οδηγός Tom’s στις Ειδήσεις Google και προσθέστε μας ως προτιμώμενη πηγή για να λαμβάνετε τα ενημερωμένα νέα, τις αναλύσεις και τις κριτικές μας στις ροές σας.
Περισσότερα από το Tom’s Guide
