En annan Android-banktrojan med möjlighet att göra omedelbara otillåtna pengaöverföringar riktar sig mot brasilianska banker som en del av en växande trend bland hotaktörer att utnyttja ett nytt automatiserat betalningssystem i Latinamerika.
Den nya GoatRAT - som BraxDex, Senomorphy och PixPirate innan det – stjäl Pix-nyckeln för de mobila enheter som den riktar in sig på för att göra omedelbara betalningar från inträngda konton, forskare från Cyble avslöjade i ett blogginlägg. Angripare bakom GoatRAT använder den nyckeln för att komma åt Pix-betalningsplattformen, skapad och driven av Brasiliens centralbank för användare att göra omedelbara mobilbetalningar i Latinamerika med en mängd olika banker.
Hittills har Cyble-forskarna observerat RAT - som de sa skapades först som ett Android-fjärradministrationsverktyg för att ta kontroll över offrens enheter - riktad mot tre brasilianska banker: NUBank, Banco Inter och PagBank.
Att göra automatiserade överföringar verkar vara det enda syftet med trojanen, som till skillnad från liknande skadlig programvara inte inkluderar förmågan att stjäla autentiseringskoder eller inkommande SMS-meddelanden, enligt resultaten.
Skadlig programvara är en del av en växande trend av hotaktörer under de senaste sex månaderna att skapa mer sofistikerad bankskadlig programvara som inkluderar ett ramverk för automatiska överföringssystem (ATS), "som tillåter angripare att utföra obehöriga pengaöverföringar på infekterade enheter", skrev Cyble-forskarna. .
"Denna nya variant belyser att det i det nuvarande tekniska landskapet finns en förhöjd risk för cyberattacker som inte kräver flera behörigheter eller många banktrojaner för att utföra ekonomiskt bedrägeri, heter det i rapporten.
Faktiskt, mobilbank Trojaner är totalt på väg uppåt, med nästan 200,000 2022 nya varianter av denna skadliga programvara som dyker upp under 2022, enligt Kasperskys "Mobile Threats in 100"-rapport. Denna siffra representerar en XNUMX % ökning från året innan och den största accelerationen av mobil skadlig programvara som har setts under de senaste sex åren.
Hur GoatRAT gör omedelbara överföringar
GoatRAT använder vanligtvis en process i fyra steg för att utföra automatiska överföringar när den infekterar en användares enhet. Forskarna beskrev systemet som används specifikt för Banco Inter-mobilbankapplikationen; Trojanen har emellertid också införlivat liknande funktioner för att utföra automatiska överföringar för andra bankapplikationer, såsom NUBank och PagBank, som den riktar sig till, sa de.
GoatRAT missbrukar först tillgänglighetstjänsten på en Android-enhet för att verifiera att namnet på det aktiva paketet stämmer överens med ett av en lista över riktade programpaketnamn, och distribuerar sedan en ytterligare infektion.
När den riktade appen har identifierats skapar skadlig programvara ett falskt banköverläggsfönster som visas ovanför den legitima applikationen för att dölja dess skadliga aktivitet från offret. Denna och en annan hemlig process gör att trojanen kan ange en summa pengar att överföra samt enhetens Pix-nyckel i den legitima bankappen utan att varna offret, sa forskarna.
Skadlig programvara introducerar också en automatisk klickmekanism för "Bekräfta" och "Betala"-knapparna i den legitima bankappen för att slutföra den omedelbara pengaöverföringen. När denna överföring är klar tar den bort överlagringsfönstret från toppen av den legitima bankappen och den skadliga processen avslutas.
Försvara sig mot ATS-trojaner
Forskare gjorde flera säkerhetsrekommendationer som går ihop med typiska bästa metoder för att ladda ner och använda mobilapplikationer för att hålla enheter fria från infektion från trojaner och annan skadlig kod som inte bara kan stjäla pengar utan också sprids till företagsnätverk via anslutna enheter.
Användare av mobila enheter bör endast ladda ner och installera programvara från officiella appbutiker som Google Play Store eller iOS App Store och använda ett välrenommerat antivirus- och Internetsäkerhetsprogram på alla anslutna enheter, inklusive inte bara mobila enheter utan även på PC och bärbara datorer, rådde forskare.
De rekommenderade också användare att aldrig dela detaljer för betalkort med otillförlitliga källor och använda starka lösenord och upprätthålla multifaktorautentisering (MFA) på mobila enheter där det är möjligt. Dessutom är det viktigt att implementera biometriska säkerhetsfunktioner som fingeravtryck eller ansiktsigenkänning för att låsa upp sina mobila enheter där det är möjligt, sa forskarna.
Andra sunt förnuftssäkerhetsregler som forskare tipsade om men som användare ofta ignorerar är att hålla enheter, operativsystem och appar uppdaterade och undvika att öppna länkar som tas emot via SMS eller e-post som levereras till mobila enheter. Användare bör vara försiktiga när de aktiverar behörigheter på enheter och se till att Google Play Protect är aktiverat på Android-enheter, tillade Cyble-forskarna.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/attacks-breaches/goatrat-android-trojan-targets-mobile-banking-automated-payment-system
