חוקרי F5 Labs חושפים: נוזקה חדשה במכשירי אנדרואיד

דרוג:

הנוזקה מתחזה ליישומי כריית מטבעות קריפטוגרפיים ומתמקדת בגניבת מידע פיננסי ונתונים אישיים, תוך יכולת לשלוט מרחוק במכשירים נגועים

חוקרי F5 Labs חושפים נוזקה מזן חדש במכשירי אנדרואיד, אותה הם מכנים "MaliBot". בדוח חדש, שפורסם בימים האחרונים, מגלים החוקרים כי הנוזקה התגלתה תוך כדי מעקב אחר סוס טרויאני ביישומי סלולאר בנקאיים בשםFluBot . הנוזקה החדשה לרוב מתחזה ליישומי כריית מטבעות קריפטוגרפיים ומתמקדת בגניבת מידע פיננסי ונתונים אישיים, תוך יכולת לשלוט מרחוק במכשירים נגועים.

החוקרים מדגישים כי אמנם נוזקת Malibot מתמקדת בלקוחות בנקאיים המשתמשים ביישומים דיגיטליים בספרד ובאיטליה, אך משתמשי מכשירי אנדרואיד בכל העולם חייבים להיות ערניים בשל היכולת שלה לגנוב פרטי זיהוי ועוגיות ולעקוף קודים של אימות רב-גורמי (MFA). 

המאפיינים המרכזיים של MaliBot:

·         MaliBot מתחזה ליישומים לכריית מטבעות קריפטוגרפיים בשם "Mining X" או "The CryptoApp", ומדי פעם ליישומים דוגמת "MySocialSecurity" ו"Chrome".

·         MaliBot מתמקדת בגניבת מידע פיננסי, פרטי זיהוי, ארנקי קריפטו ונתונים אישיים (PII).

·         Malibot מסוגלת לגנוב ולעקוף קודים מרובי גורמים (2FA/MFA).

·         היא בעלת יכולת לשלוט מרחוק במכשירים נגועים באמצעות מימוש שרת VNC.

אור יעקב, דירקטור בכיר של גוף ההנדסה של F5  בדרום  EMEAאמר כי: "ככל שהשירותים הדיגיטליים הבנקאיים מתרבים ומתרחבים, כך גם עולים איומים נוספים ומתוחכמים יותר שמבקשים לנצל לקוחות תמימים. היא נבנתה בשלב זה על מנת לתקוף יישומים נפוצים בספרד ואיטליה, אך יש לצפות כי היא תעבור אדפטציה עם הזמן כדי לתקוף יישומים בנקאיים במדינות אירופאיות נוספות ובישראל. לכן, משתמשי אנדרואיד ישראליים חייבים לנקוט במשנה זהירות ולשים לב ליישומים לא לגיטימיים ה'מתחזים' ליישומים בנקאיים".

 דור ניזר, חוקר אבטחת מידע ב-F5, ממגלי הנוזקה וכותב הדוח מדווח כי: "השליטה והבקרה (C2) שלMaliBot   ממוקמת ברוסיה ונראה כי היא משתמשת באותם שרתים ששימשו להפצת התוכנה הזדונית של Sality. הנוזקה היא עיבוד מחדש של נוזקת התחזות SOVA (בעברית "ינשוף"), שהתגלתה לראשונה ב-2021, עם פונקציונליות, שרתי C2, דומיינים, וטווח פגיעה רחב יותר. הנוזקה מציגה בפני הקורבן דף מזויף באמצעות WebView, כולל לינק המסופק על ידי שרת ה-C2".

 החוקרים עוד מדווחים כי הרבגוניות של הנוזקה והשליטה שהיא מעניקה לתוקפים על המכשיר גורמים לכך שהוא יכול, באופן עקרוני, לשמש למגוון רחב יותר של התקפות מאשר גניבת אישורים ומטבעות קריפטוגרפיים. למעשה, כל יישום שעושה שימוש ב-WebView עלול לגרום לגניבת האישורים והעוגיות של המשתמשים.

 דוח הגנת יישומים של F5 Labs  לשנת 2022 ציין כי בעוד שעליית הכופרות הייתה מגמת התוקפים הדרמטית ביותר בשנתיים האחרונות, בשנת 2021 חלה גם עלייה קלה יותר בהדבקות של נוזקות שחילצו נתונים מבלי לחתור להצפנה וכופר. נוזקה רבת יכולות זאת משמשת תזכורת לכך שמגמות ההתקפה של היום הן אף פעם לא האיום היחיד שיש לשים לב אליו.


© כל הזכויות שמורות למערכת פרסום הודעות יחסי ציבור בניית אתרים ע"י בניית אתרים