Операторы банковского трояна Toddler атаковали клиентов 60 банков по всей Европе

Операторы банковского трояна Toddler атаковали клиентов 60 банков по всей Европе

Alexander Antipov

Злоумышленники взломали ряд легитимных web-сайтов с целью распространения вредоносного ПО.

image

Команда исследователей в области кибербезопасности PRODAFT Threat Intelligence (PTI) рассказала о банковском трояне Toddler (также известном как TeaBot/Anatsa) для мобильных устройств под управлением Android. Операторы Toddler использовали вредонос для осуществления атак на клиентов 60 европейских банков в Испании, Германии, Швейцарии и Нидерландах.

По данным PTI, в настоящее время в Испании трояном Toddler заражено не менее 7632 мобильных устройств. В результате взлома C&C-сервера банковского трояна исследователи обнаружили более 1 тыс. украденных учетных данных online-банкинга. В настоящее время троян не был обнаружен в магазине приложений Google Play Store, однако злоумышленники взломали ряд легитимных web-сайтов с целью распространения вредоносного ПО.

Toddler является обычным троянским программным обеспечением во многих отношениях и содержит функции для кражи данных (включая банковские реквизиты), запуска кейлоггеров, создания снимков экрана, перехвата кодов двухфакторной аутентификации (2FA), перехвата SMS, и подключения к C&C-серверу для передачи информации и получения команд.

Вредоносное ПО способно отображать поддельные экраны авторизации и обманом заставить пользователя ввести банковские реквизиты. Для осуществления данных задач вредонос сперва анализирует, какие легитимные приложения открываются на мобильном устройстве. Toddler также позволяет операторам похищать учетные данные для доступа к криптовалютным кошелькам.

Список команд C&C-сервера включает активацию экрана зараженного устройства, запрос разрешений, изменение уровня громкости, попытку получить коды из Google Authenticator и удаление приложений.

Как отметили эксперты, Toddler содержит несколько механизмов персистентности, наиболее заметным из которых является предотвращение перезагрузки зараженного устройства или использование телефона в безопасном режиме.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.


Источник: Securitylab