CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Atacuri cu malware-ul Hydra Android care vizează clienții băncilor europene

Specialiștii în securitatea cibernetică au declarat că a apărut o nouă serie de atacuri de tip malware, care vizează utilizatorii din Europa care folosesc servicii de banking compromise cu malware-ul de tip bancar numit Hydra. Noua serie de atacuri a afectat în principal clienții băncii Commerzbank, fiind a doua cea mai mare bancă din Germania. Hydra este un program malițios bancar Android, care a fost activ încă de la începutul anului 2019.

                Atacatorii au creat o pagină care se părea a fi pagina oficială a băncii CommerzBank și au înregistrat mai multe domenii pe același IP (91.214.124[.]225). Aceștia au folosit site-ul fals pentru a răspândi aplicațiile compromise.

                Cercetătorii de la Cyble, au declarat că malware-ul Hydra continuă să se dezvolte,  iar metodele folosite de atacatori includ funcționalitatea TeamViewer, similară cu malware-ul bancar S.O.V.A. Acest Trojan folosește diferite metode de criptare pentru a evita detectarea, precum și utilizarea TOR pentru comunicare. Noua versiune este, de asemenea, capabilă să dezactiveze funcția de securitate Play Protect Android.

                Experții avertizează că malware-ul solicită două permisiuni extrem de sensibile, BIND_ACCESSIBILITY_PERMISSION și BIND_DEVICE_ADMIN.

                Serviciul de accesibilitate este o facilitate ce rulează în background și oferă sprijin persoanelor cu dizabilități, în timp ce BIND_ACCESSIBILITY_SERVICE permite accesul aplicației la serviciul de accesibilitate. Atacatorii profită de serviciul BIND_ACCESSIBILITY_SERVICE  pentru a intercepta și monitoriza toate activitățile care se desfășoară pe ecranul dispozitivului, cum ar fi credențialele introduse pe o altă aplicație.  BIND_DEVICE_ADMIN permite aplicațiilor false să obțină privilegii de administrator pe dispozitivul compromis. Malware-ul Hydra se folosește de această permisiune pentru a bloca dispozitivul, a modifica sau a reseta PIN-ul etc.

                Programul malware solicită alte permisiuni pentru a desfășura activități malițioase, cum ar fi accesarea conținutului SMS, trimiterea de SMS-uri, efectuarea de apeluri, modificarea setărilor dispozitivului, spionarea activităților utilizatorului.

                Analiza codului a indicat că din fișierul APK lipsesc diferite clase. Codul malițios utilizează un pachet personalizat pentru a evita detectarea bazată pe semnături.

                Echipa de la Cyble a mai observat că atacatorii malware-ului Hydra folosesc noi metode pentru a fura informații și bani de la utilizatorii vizați. Pe lângă aceste caracteristici noile variante de malware au funcționalitatea TeamViewer sau VNC și TOR pentru comunicare, ceea ce arată că AT-urile își îmbunătățesc TTP-urile.

                În baza modelului descoperit, autorii de programe malware adaugă în mod constant noi caracteristici programelor malware bancare, pentru a evita detectarea de către programele de securitate. Pentru a se proteja de aceste amenințări, utilizatorii ar trebui să instaleze numai aplicații din magazinul oficial Google Play Store.

Sursa: https://securityaffairs.co/wordpress/122807/cyber-crime/hydra-android-trojan-european-banks.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică