Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Zondvloed van bijna 300 nep-apps overspoelt de Iraanse banksector

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 184

Een gigantische campagne gericht op de Iraanse banksector is de afgelopen maanden in omvang toegenomen, met bijna 300 kwaadaardige Android-apps die zich op gebruikers richten vanwege hun accountgegevens, creditcards en crypto-wallets.

Vier maanden geleden ontdekten onderzoekers van Sophos voerde een langdurige campagne uit met 40 kwaadaardige bankapps ontworpen om inloggegevens van onwetende klanten te verzamelen. Door vier van de belangrijkste financiële instellingen van de Islamitische Republiek te imiteren – Bank Mellat, Bank Saderat, Resalat Bank en de Centrale Bank van Iran – konden hackers hun copycat-apps op de telefoons van hun slachtoffers installeren en verbergen, inloggegevens verzamelen en sms-berichten onderscheppen. eenmalige toegangscodes en het stelen van gevoelige financiële informatie, waaronder creditcards.

Blijkbaar was dat slechts het openingssalvo. A nieuwe blogpost van Zimperium heeft nog 245 apps onthuld die verband houden met dezelfde, duidelijk lopende campagne, waarvan er 28 nog niet eerder op VirusTotal waren opgenomen.

En deze nieuwe schat is niet alleen groter; hij is diverser en geavanceerder dan de eerste veertig, met nieuwe soorten doelwitten en tactieken voor stealth en doorzettingsvermogen.

285 valse bankapps

De 245 nieuwe apps die sinds de zomer zijn ontdekt, reiken verder dan de oorspronkelijke veertig door zich actief te richten op vier nieuwe Iraanse banken, met enig bewijs dat ze nog eens vier op het oog hebben.

Naast banken zijn de aanvallers ook begonnen met het zoeken naar gegevens met betrekking tot zestien cryptocurrency-platforms, waaronder populaire platforms als Metamask, KuCoin en Coinbase.

Om het aanvallen van een tiental banken en 16 crypto-hubs te vergemakkelijken, hebben de aanvallers ook enkele nieuwe tools aan hun arsenaal toegevoegd. Een klein trucje dat ze gebruiken om het uitschakelen van de infrastructuur te voorkomen, is bijvoorbeeld een command-and-control-server met als enige doel het verspreiden van phishing-links. Zoals de onderzoekers uitlegden, “maakt dit het mogelijk dat de server-URL hardgecodeerd wordt in de applicatie zonder het risico te worden verwijderd.”

De meest opvallende nieuwe tactiek van de groep is echter hoe hun apps misbruik maken van toegankelijkheidsdiensten. 

“Terwijl ze de toegankelijkheids-API gebruiken, krijgen ze een manier om programmatisch toegang te krijgen tot de elementen van de gebruikersinterface”, legt Nico Chiaraviglio, hoofdwetenschapper van Zimperium, uit. Hij legt uit dat aanvallers op dezelfde manier als een gebruiker onzichtbaar met het apparaat kunnen communiceren, met kwaadwillende gevolgen. Ze kunnen bijvoorbeeld om gevaarlijke toestemmingen vragen (zoals het lezen van sms-berichten) en wanneer de gebruiker wordt gevraagd de toestemming te accepteren, klikken ze op 'Accepteren' voordat de gebruiker de melding zelfs maar ziet. Of ze voorkomen het verwijderen door op ‘Annuleren’ te klikken wanneer de gebruiker de app probeert te verwijderen.”

Tot nu toe zijn dat de nep-apps geweest beperkt tot Android-apparaten. Maar tussen de bezittingen van de aanvallers vonden de onderzoekers phishingwebsites die de Apple App Store-pagina's van bankapps nabootsten, wat erop wijst dat de campagne in de nabije toekomst kan worden uitgebreid naar iPhones.

Lang voordat dat gebeurt, zal de campagne duizenden mensen hebben bereikt. “Op basis van de informatie verkregen via een van hun Telegram-kanalen weten we dat er duizenden slachtoffers zijn. Maar we hadden slechts toegang tot één van de gebruikte kanalen (aangezien een ervan privé is) en er is geen garantie dat ze in het verleden geen andere kanalen hebben gebruikt.” 

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.