Масштабная атака на мобильный банкинг в Индии
Источник: www.zimperium.com
Недавнее исследование, проведенное компанией zLabs, вскрыло масштабную кампанию вредоносных программ, нацеленных на пользователей индийских банков. Вредоносное ПО, классифицируемое как банковский троян, состоит из почти 900 уникальных образцов, что ясно указывает на скоординированные действия злоумышленников, ориентированных на устройства Android.
Методы работы вредоносного ПО
Исследование показало, что данный банковский троян использует уязвимости в мобильном банкинге, в частности:
- Перехват SMS-сообщений для кражи учетных данных;
- Целенаправленное внимание к одноразовым паролям (OTP);
- Использование реальных телефонных номеров для перенаправления SMS-сообщений.
Такой подход создает цифровой след, который может быть отслежен правоохранительными органами. В ходе исследования было выявлено около 1000 уникальных телефонных номеров, многие из которых зарегистрированы в индийских штатах Западная Бенгалия, Бихар и Джаркханд. Кроме того, обнаружено более 222 общедоступных хранилищ Firebase, содержащих около 2,5 ГБ конфиденциальных данных, затрагивающих около 50 000 пользователей.
Способы распространения и маскировки
Распространение вредоносного ПО осуществляется через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), где APK-файлы маскируются под законные правительственные или банковские приложения. После установки эти приложения обманом заставляют пользователей предоставлять конфиденциальную информацию, такую как:
- Номера Aadhar;
- Данные карты PAN;
- Данные о кредитных и дебетовых картах;
- PIN-коды банкоматов.
Методы эксфильтрации данных
Вредоносное ПО использует SMS-разрешения для перехвата и эксфильтрации сообщений, что позволяет осуществлять несанкционированные финансовые транзакции. Хакеры применяют три основных варианта эксфильтрации:
- SMS-переадресация: перехватывает и пересылает украденные сообщения на телефонные номера, контролируемые злоумышленником;
- Firebase-эксфильтрация: отправляет перехваченные SMS-сообщения на указанную конечную точку Firebase, действующую как командно-контрольный сервер;
- Гибридный вариант: сочетает в себе оба метода.
Заключение
Исследование предположило, что такие обфусцированные коды и жестко закодированные телефонные номера могут указывать на структурированную организацию, стоящую за этой кампанией. Кроме того, хакеры используют доверие, связанное с банковскими учреждениями и государственными органами, чтобы развивать свои схемы в Индии.
В ответ на растущий уровень угроз организациям рекомендуется:
- Внедрять надежные методы обеспечения кибербезопасности;
- Принимать проактивные меры для защиты устройств сотрудников и клиентских приложений;
- Использовать расширенные возможности обнаружения и защиты в режиме реального времени от вредоносных программ и попыток фишинга.
Таким образом, предприятия могут эффективно устранять эти сложные угрозы, защищать конфиденциальные данные и обеспечивать непрерывность бизнеса в условиях стремительного роста мобильного мошенничества.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
