קבוצת המחקר המבוססת על סינגפור מתארת את התוכנה הזדונית של מפלצת הסנדק המשמשת למיקוד ביותר מ-400 יישומי פינטק, חילופי קריפטו וארנקים בלמעלה מ-16 מדינות.
ב מפורט לדווח, Group-IB מדגים שהאקרים יכולים לגנוב פרטי כניסה לבנקאות מקוונת ואחרים שירותים פיננסיים שימוש בתוכנה זדונית של הסנדק, המאפשרת להם לרוקן חשבונות של קורבנות. המוסדות הפיננסיים בבריטניה הם הנפגעים הקשים ביותר מבין 400 הקורבנות, עם התקפות שהתרחשו בשלושת החודשים האחרונים.
לפי Group-IB, מחצית מהיעדים היו מוסדות פיננסיים. 17 היו ממוקמים בבריטניה, 49 בארה"ב, 31 בטורקיה ו-30 בספרד. שאר הקורבנות נמצאים בקנדה, צרפת, גרמניה, איטליה ופולין.
סנדק טרויאני: איך זה עובד
הטרויאני לבנקאות אנדרואיד הוא יורש מחודש של אנוביס, שגם גרם נזק רב למערכת האקולוגית בשנת 2019. הדמיון בין שני התוכנות הזדוניות הללו הוא השיטות שלהם להשיג את כתובת C2, ביצוע פקודות C2 ושימוש במודולים למסך לִלְכּוֹד, פרוקסי, וזיוף אינטרנט. עם זאת, היכולת להקליט אודיו, לעקוב אחר המיקום שלך ולעקוף אימות דו-גורמי זמינה רק בתוכנה זדונית של Godfather.
התוכנה הזדונית של Godfather מוסתרת ביישומי אנדרואיד המופיעים בחנות Play. הקוד הזדוני של המטען מוסווה כדי להידמות ל-Google Protect. שירות זה סורק אפליקציות לאיתור התנהגויות מסוכנות. לאחר ההשקה על ידי משתמש, התוכנה הזדונית מחקה תוכנית מקורית של Google. אנימציה מציגה את "Google protect", אבל אין כזו.
עם התקנת האפליקציה הוקטורית מחנות Play, התוכנה הזדונית הרשאות עצמו לתוך המערכת של הקורבן. הוא יוצר קשר עם שרת הפקודות והבקרה שלו, ושולח את כל הנתונים של הקורבן. היעדים עשויים להבחין בהתפתחויות אלה רק ברגע שהם מפסידים כספים ומתקשים למשוך או להשבית את האפליקציה המורשית.
ארטם גרישנקו, מנתח תוכנות זדוניות זוטר ב-Group-IB, אמר שהקשרים בין סנדק ואנוביס מצביעים על כך שפושעי סייבר הולכים וגדלים לתחכום. יש צורך במפתחים ומנהלים לעדכן את התשתית שלהם כי מי שעומד מאחורי הסנדק טרויאני עדיין יכול לעשות יותר.
החלק המכריע של המחקר מראה גם כי מדינות בעלות קשרים עם ברית המועצות שנכחדה נעדרות לחלוטין ברשימת הקורבנות ובדרגת הקורבנות. א שורת קוד בטרויאן, על פי הדיווחים, כיבוי פעולות ברגע שהוא מבחין בשפות רוסית, מולדובה, קירגיזית, אזרבייג'נית, קזחית, ארמנית, טג'יקית או אוזבקית. החוקרים רומזים לאפשרות של א מלחמת סייבר.
מקור: https://crypto.news/android-trojan-targets-over-400-apps-including-crypto-and-fintech/