'Greenbean' มัลแวร์ Android Banking Trojan ตัวล่าสุด ใช้ Simple RealTime Server (SRS) เพื่อติดต่อกับ C2 Server
ในเดือนตุลาคม 2023 Cyble Research and Intelligence Labs (CRIL) ตรวจพบมัลแวร์ Android Banking Trojan ตัวใหม่ที่ชื่อ Enchant ซึ่งมุ่งเป้าหมายไปยังผู้ใช้ cryptocurrency ในประเทศจีน โดยล่าสุดตรวจพบ Android Banking Trojan อีกตัวที่มีความสามารถในการสตรีมวิดีโอ และอ่านหน้าจอ ที่มุ่งเป้าหมายไปยังผู้ใช้ cryptocurrency ในประเทศจีน และเวียตนามตั้งแต่เดือนสิงหาคม 2023
(more…)
'Nexus' มัลแวร์ Banking Trojan ตัวใหม่บนระบบ Android กำลังถูกนำมาใช้โดยผู้ไม่หวังดีหลายราย โดยมุ่งเป้าการโจมตีไปที่แอปพลิเคชันทางด้านการเงินกว่า 450 แอปพลิเคชัน
บริษัทด้านความปลอดภัยทางไซเบอร์จากอิตาลี Cleafy ระบุในรายงานที่เปิดเผยต่อสาธารณะในสัปดาห์นี้ว่า "Nexus กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา โดยมีฟีเจอร์หลักทั้งหมดสำหรับการโจมตีในรูปแบบ ATO (Account Takeover) กับ banking portals และบริการ cryptocurrency เช่น การขโมยข้อมูล credentials และการดักจับ SMS
โทรจันดังกล่าวถูกพบครั้งแรกโดย Cyble ในฟอรัมของกลุ่มแฮ็กเกอร์เมื่อช่วงต้นปีที่ผ่านมา โดยมีค่าบริการสำหรับสมัครสมาชิก 3,000 ดอลลาร์ต่อเดือน
อย่างไรก็ตามมีหลักฐานจากข้อมูลของ Rohit Bansal (@0xrb) นักวิจัยด้านความปลอดภัยทางไซเบอร์ และได้รับการยืนยันโดยผู้สร้างมัลแวร์บน Telegram ว่ามัลแวร์อาจถูกใช้ในการโจมตีจริงตั้งแต่เดือนมิถุนายน 2022 เป็นอย่างน้อย หรือหกเดือนก่อนที่จะมีการประกาศขายอย่างเป็นทางการบนฟอรัมของกลุ่มแฮ็กเกอร์
Nexus มีความคล้ายกับ banking trojan อีกตัวที่ชื่อ SOVA โดย Nexus ใช้ซอร์สโค้ดบางส่วนของ SOVA รวมกับโมดูลแรนซัมแวร์ที่อยู่ในระหว่างการพัฒนา (more…)
มัลแวร์ Xenomorph บน Android ได้ปล่อยเวอร์ชันใหม่ที่เพิ่มความสามารถในการโจมตี รวมไปถึงระบบการโอนเงินอัตโนมัติ (ATS) และความสามารถในการขโมยข้อมูล credentials ของธนาคารได้กว่า 400 แห่ง
Xenomorph ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2022 โดย ThreatFabric ซึ่งเวอร์ชันแรกของ banking Trojan ดังกล่าว ถูกเผยแพร่ผ่านทาง Google Play Store และถูกติดตั้งบนอุปกรณ์ Android มากกว่า 50,000 เครื่อง (more…)
นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob
นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)
แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย
นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล
ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์
ที่มา: zdnet.
นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"
Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป
จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน
ที่มา : infosecurity-magazine
นักวิจัยค้นพบ Android Banking Trojan ใหม่โดยใช้ชื่อว่า Red Alert 2.0 Red Alert จะกระจายตัวอยู่ตามแหล่ง Android app stores ที่ไม่ได้อยู่ภายใต้การดูแลของ Google มีการทำงานคล้ายกับภัยคุกคามที่ผ่านมา Red Alert โดยจะซ่อนตัวจนกว่าผู้ใช้จะเปิดแอปพลิเคชัน Banking หรือ Social Media แล้วแสดงผลซ้อนทับแอปพลิเคชันเพื่อส่งการแจ้งเตือนหลอกๆให้ผู้ใช้งานกรอกข้อมูลลงไป จากนั้น Red Alert จะส่งข้อมูลกลับไป Server ของผู้ที่ไม่หวังดี
Red Alert จะใช้ข้อมูลเหล่านี้ข้าถึงบัญชีธนาคารของเหยื่อเพื่อทำธุรกรรมที่หลอกลวงหรือแอปโซเชียลมีเดียของเหยื่อเพื่อเผยแพร่ Spam นอกจากนี้ Red Alert ยังมีคุณลักษณะในการรวบรวมรายชื่อผู้ติดต่อจากอุปกรณ์ที่ติดไวรัส และเพื่อหลีกเลี่ยงการถูกตรวจจับโทรจันยังเข้าควบคุมฟังก์ชัน SMS ที่คอยส่งข้อความแจ้งเตือนต่างๆ แถมด้วยความสามารถในการบล็อกโทรศัพท์โดยอัตโนมัติจากหมายเลขที่เชื่อมโยงกับธนาคารและสถาบันการเงิน นักวิจัยคาดว่าจะมีการเพิ่มคุณสมบัติการควบคุมระยะไกลกับอุปกรณ์ที่ติดเชื้อเพิ่ม Red Alert เพิ่มขึ้นอีกด้วย
นักวิจัยกล่าวว่า Red Alert สามารถกำหนดเป้าหมายไปยังสมาร์ทโฟนที่ใช้ Android ได้ถึง Version 6.0 (Marshmallow) มาพร้อมกับการสนับสนุนการแสดงซ้อนทับ HTML สำหรับ Social Media Apps และกว่า 60 แอปพลิเคชัน
ผู้ใช้สามารถหลีกเลี่ยง Android malware ส่วนใหญ่ได้โดยไม่ใช้ Application แหล่งที่ไม่น่าไว้ใจ และเลือกใช้แอปพลิเคชันเฉพาะใน Play สโตร์เท่านั้น
และต้องตรวจสอบว่าได้ปิดตัวเลือก "ไม่รู้จักที่มา" ในอุปกรณ์แอนดรอยด์ของคุณเพื่อป้องกันการติดตั้ง Application จากแหล่งที่ไม่รู้จัก
สิ่งสำคัญที่สุดคือตรวจสอบสิทธิ์ของ Application ก่อนติดตั้งแม้กระทั่งจาก Google Play Store อย่างเป็นทางการและหากคุณพบแอปพลิเคชันใดๆที่ต้องการการเข้าถึงสิทธิที่มากว่าที่ควร ก็ไม่ควรติดตั้งลงไป การมี Application ป้องกันไวรัสจากผู้ขายที่มีชื่อเสียงซึ่งสามารถตรวจจับและป้องกันไม่ให้โทรจันดังกล่าวติดตั้งอุปกรณ์ดังกล่าวจะช่วยได้ นอกจากนี้ควร Update ระบบและ Application ให้ทันสมัยเสมอ
Affected Platform Android Banking
ที่มา : bleepingcomputer