Niedawno odkryto 22 aplikacje na Adroidzie, należące do nowej rodziny Trojan nazwanej “Xbot”. Trojan ten jest już zdolny do wielu szkodliwych zachowań. Próbuje okraść ofiary podczas poświadczenia informacji bankowych za pośrednictwem spreparowanych stron phishingowych. Naśladują one interfejs płatności Google Play, jak i strony logowania 7 różnych banków aplikacji. Może również zdalnie zablokować zainfekowane urządzenie Android, zaszyfrować pliki użytkownika w pamięci zewnętrznej (na przykład karta SD), a następnie poprosić o 100 $ okupu.
Trojan Xbot: Groźny szczególnie dla Androida
Do tej pory szkodnik nie wydaje się być powszechny. Złośliwe oprogramowanie atakuje głównie użytkowników Androida w Rosji i Australii.Wskazują na to markery w jego kodzie oraz sfałszowane interfejsy aplikacji. Warto zauważyć, że z siedmiu imitacji aplikacji bankowych, sześć należy do jednych z najbardziej popularnych banków w Australii. Jednak Xbot został wdrożony w elastycznej architekturze, którą można łatwo rozszerzyć do kierowania większą ilością aplikacji na Androida. Biorąc pod uwagę, że autor czyni regularne aktualizacje i ulepszenia swojego dzieła, szkodnik ten może wkrótce zagrozić użytkownikom Androida na całym świecie.
Xbot wykorzystuje przede wszystkim popularną technikę ataku nazywaną „activity hijacking”, nadużywając niektórych funkcji w Androidzie. Aplikacje Xbota to imitacje, same nie mające funkcjonalności. Podczas próby uruchomienia aplikacji banku wyświetlany jest spreparowany przez cyberprzestępcę ekran udający oficjalną aplikację. Począwszy od Androida 5.0, Google przyjęła mechanizm ochrony w celu złagodzenia tego ataku. Inne metody stosowane przez Xbot wciąż dotyczą wszystkich wersji Androida.
Źródło: paloaltonetworks
Redaktorka Net Complex Blog
