Фишинговые сайты маскируются под известные бренды для обмана пользователей
Расширенные методы маскировки обходят традиционные меры безопасности
Эксперты предупреждают, что для защиты мобильных устройств необходимо обнаружение в реальном времени
Координированная кампания по распространению мобильного вредоносного ПО нацелена на финансовые учреждения по всему миру, предупреждают эксперты. Исследовательская команда zLabs компании Zimperium обнаружила, что кампания использует две опасные семьи вредоносного ПО — Gigabud и Spynote, чтобы скомпрометировать мобильные устройства и атаковать банковские приложения.
Более 50 финансовых мобильных приложений, включая банки и платформы для работы с криптовалютой, стали мишенью этой сложной вредоносной кампании.
Мировая кампания вредоносного ПО
Gigabud фокусируется на краже учетных данных банковских приложений через фишинговые сайты и вредоносные приложения, в то время как Spynote позволяет злоумышленникам полностью контролировать зараженные устройства, красть данные, записывать медиа, отслеживать местоположение и дистанционно управлять устройствами.
Было обнаружено, что домены, распространяющие Gigabud, также занимались распространением Spynote, что указывает на скоординированную, масштабную попытку эксплуатации уязвимостей мобильных устройств. Эти виды вредоносного ПО представляют серьезную угрозу как для личных, так и для корпоративных данных, сигнализируя о более сложной киберугрозе для мобильных устройств.
Данная кампания охватывает финансовые учреждения в нескольких странах, и Zimperium обнаружил 11 командных серверов и 79 фишинговых сайтов, маскирующихся под бренды, такие как Ethiopian Airlines, вьетнамские финансовые платформы, популярные сайты электронной торговли и даже государственные услуги.
Атакующие специально нацеливаются на мобильные банковские приложения, чтобы получить несанкционированный доступ к конфиденциальной информации, включая учетные данные, банковские детали и историю транзакций.
Кампания Gigabud-Spynote использует передовые методы маскировки для обхода традиционных мер безопасности. Вредоносное ПО упаковано с помощью Virbox, инструмента, предназначенного для сокрытия вредоносного кода, что затрудняет традиционным методам обнаружения идентификацию и анализ.
Несмотря на то, что кампания в основном направлена на потребительские мобильные банковские приложения, уровень доступа, который обеспечивают Gigabud и Spynote, вызывает обеспокоенность для корпоративной безопасности. Многие пользователи имеют как личные, так и рабочие приложения на одних и тех же мобильных устройствах, поэтому, если личное устройство скомпрометировано, под угрозой оказываются корпоративные данные, учетные записи и методы двухфакторной аутентификации.
В связи с глобальным масштабом этой кампании и акцентом на финансовые приложения, Zimperium настоятельно призывает как потребителей, так и организации предпринять немедленные шаги для защиты.
Компании должны обеспечить наличие методов мобильной безопасности на устройствах в реальном времени, способных выявлять и останавливать сложные угрозы, а также обучать сотрудников рискам загрузки приложений из неофициальных источников, перехода по подозрительным ссылкам и предоставления излишних разрешений, чтобы снизить риски мобильного вредоносного ПО.
«Связь между Gigabud и Spynote демонстрирует растущую сложность атак мобильного вредоносного ПО. Наши последние исследования подчеркивают критическую важность обнаружения в реальном времени на устройстве для защиты от этих стремительно развивающихся угроз», – отметил Нико Чиаравильо, главный ученый сотрудник Zimperium.
Источник: TechRadar
