BizarroBankingトロイの木馬

BizarroBankingトロイの木馬 説明

新しい洗練されたAndroidバンキング型トロイの木馬が、ヨーロッパと南アメリカのユーザーに対して利用されています。この脅威はBizarroという名前で、ブラジルの銀行トロイの木馬のグループに属しています。 Bizarroは、通常のようにローカルで運用するのではなく、アルゼンチン、チリ、ドイツ、フランス、イタリア、スペイン、ポルトガルにいるユーザーに重点を置いてグローバルに解き放たれました。

攻撃者の目標は、侵害されたAndroidデバイスからオンラインバンキングのクレデンシャルを取得し、ビットコインウォレットをハイジャックすることです。 70を超える銀行がBizarroBankingTrojanの標的になっています。スパムメールのリンクを介して配信されるか、武器化されたアプリケーションによってドロップされるMicrosoftインストーラパッケージを介して拡散します。

BizarroがユーザーのAndroidデバイスに配信されると、現在アクティブなすべてのブラウザープロセスを強制終了します。目標は、現在実行されている可能性のある銀行のWebサイトとの潜在的なセッションを停止することです。その後、被害者は銀行の資格情報をもう一度入力するように強制されますが、今回はマルウェアが情報を収集しようとします。成功の可能性を高めるために、Bizarroはオートコンプリートを無効にし、偽のポップアップを生成して2要素認証コードを傍受するという追加の手順を実行します。バンキング型トロイの木馬には、画面キャプチャ機能も付属しています。最も脅威的な側面であり、Bizarroを他のほとんどのバンキング型トロイの木馬と一線を画すのは、本格的なバックドアモジュールです。

強力なバックドア機能

Bizarroのバックドアモジュールは、100を超える異なるコマンドを認識して実行できます。ただし、バックドアはすぐにはアクティブになりません。ハードコードされた文字列のリストに一致するオンラインバンキングシステムへの接続が検出されるまで待機します。その後、バックドアのコアコンポーネントがアクティブ化されます。一般に、攻撃者は被害者のシステムに関するデータを取得できます。ファイルを検索、抽出、またはシステムにダウンロードします。マウスやキーボードなどの入力デバイスを制御します。偽のポップアップウィンドウなどのフィッシングメッセージを表示します。

Bizarroは、特定の銀行のロゴと被害者が選択したオンラインバンキングシステムを模倣するための指示を含むJPEG画像をダウンロードできます。画像はコマンドアンドコントロール(C2、C&C)サーバーからフェッチされ、暗号化された形式でユーザーのプロファイルディレクトリに保存されます。マルウェアはカスタムメッセージを表示することもできます。そうすることで、Bizarroは侵害されたデバイスを効果的にフリーズできます。カスタムメッセージが表示されている間、ユーザーはメッセージを閉じたり、タスクマネージャーを開いたりすることはできません。同時に、画面がグレー表示され、タスクバーが非表示になります。

Bizarroの操作はかなり洗練されているようで、脅威アクターはさまざまなアフィリエイトやラバを使用してさまざまなアクションを実行します。これらは、翻訳の簡単なヘルプからマネーロンダリングスキーム、またはユーザーデバイスに対する最初の攻撃の促進にまで及ぶ可能性があります。