Asnjë antivirus nuk mund ta shohë – malware i ri vjedh të dhënat tuaja bankare

Analistët nga Cyble Research and Intelligence Labs (CRIL) kanë zbuluar një variant të ri të trojanit bankar Android.

Është Cerberus, një malware që u shfaq në forumet e hakerëve në vitin 2019 si një mjet mashtrimi financiar që mund të merrej me qira.

Që atëherë, Kerber ka evoluar për të ndryshuar në mënyrë dinamike serverët e komandës dhe kontrollit, dhe zinxhiri i tij i sofistikuar i infeksionit e ndërlikon zbulimin dhe heqjen, paralajmëroi raporti CRIL.

Situata komplikohet edhe më shumë nga fakti se kriminelët kibernetikë kanë shtuar sulmet e tyre me këtë malware që nga muaji shtator.

Asnjë antivirus nuk e zbuloi versionin e ri të Kerber. Domenet krijohen në fluturim duke përdorur DGA (Domain Generation Algorithm) për të ndryshuar serverët e komandës dhe kontrollit (C&C).

Në fillim, studiuesit Cyble menduan se kishin të bënin me malware krejt të ri. Por analiza e detajuar zbuloi ngjashmëri të kodit me Kerber, i cili u identifikua për herë të parë në 2019. Ata e quajtën fushatën e re ErrorFather sipas ID-së së botit Telegram dhe identifikuan 15 mostra malware të lidhura me fushatën ErrorFather. Studiuesit vërejnë se sulmet janë në vazhdim dhe disa serverë C&C janë ende aktivë.

Sulmuesit mbështeten te përdoruesit për të bërë një gabim. Malware është maskuar si aplikacione të ligjshme bankare ose vërtetimi ose përditësimi dhe përdor ikonat e Google Play dhe Chrome. Sulmuesit përdorin faqe phishing për të shpërndarë këto aplikacione.

Kerber mbledh dhe dërgon të dhëna të tilla si listat e aplikacioneve, kontaktet, pamjet e ekranit, statusi i pajisjes dhe të dhëna të tjera për sulmuesit. Ai gjithashtu mund të vjedhë SMS ose të dërgojë mesazhe, të regjistrojë audio dhe të bëjë thirrje.

Pasi të identifikohet një objektiv (aplikacion) i mundshëm, malware e mbulon atë me një faqe të rreme phishing për të mashtruar viktimën që të fusë detajet e hyrjes ose të kartës së kreditit.

Malware mund të imitojë ndërveprimin e përdoruesit, klikimet dhe gjestet e ndryshme hyrëse dhe të çinstalohet kur sulmuesit të kenë mbaruar.

Studiuesit Cyble rekomandojnë që përdoruesit e Android të shkarkojnë aplikacione vetëm nga burime zyrtare, të kontrollojnë nëse Google Play Protect është aktiv në pajisje, të jenë të kujdesshëm me lejet që u japin aplikacioneve dhe të mos hapin lidhje të dyshimta që marrin me SMS ose email. /Telegrafi/