Analiza FortiGuard: podatności w popularnych urządzeniach sieciowych
Trojany wciąż niebezpieczne
Badacze z FortiGuard odkryli niedawno narzędzie Trojan-Dropper.AndroidOS.Shopper, które jest używane przez cyberprzestępców do podwyższania oceny wybranych aplikacji mobilnych i w konsekwencji zwiększania liczby ich instalacji. Może być ono wykorzystane do promowania oprogramowania służącego do kryminalnych celów lub nieuczciwego zwiększania oceny aplikacji, świadczonego jako usługa na rzecz jej autorów.
Na zainfekowanym urządzeniu trojan może również wyświetlać komunikaty reklamowe i tworzyć skróty do witryn reklamowych. Potrafi też napisać fałszywą recenzję użytkownika, instalować aplikacje poprzez sklep Google Play i inne platformy, a także rejestrować użytkowników z wykorzystaniem ich kont Google lub Facebook w fałszywych aplikacjach, udających oprogramowanie przeznaczone do zakupów w takich serwisach jak AliExpress, Lazada, Zalora i innych.
Tego typu aktywność trojana jest nadużyciem reguł korzystania z usług Google – nie ma on praw do instalacji aplikacji ze źródeł zewnętrznych, a także jest w stanie wyłączyć ochronę Google Play. Złośliwe oprogramowanie zwodzi potencjalną ofiarę, udając aplikację systemową. Na koniec zbiera informacje o urządzeniu ofiary, takie jak kraj pochodzenia, typ sieci, sprzedawca, model smartfona, adres e-mail, IMEI i IMSI, a następnie przekazuje je na serwer przestępców.
Ciekawym przypadkiem, wykrytym przez analityków Fortinet, jest również trojan o nazwie Lampion. To złośliwe oprogramowanie było rozprowadzane za pomocą wiadomości e-mail skierowanych do portugalskiego ministerstwa finansów. Z analizy wynika, że Lampion przypomina rodzinę Trojan Banker.Win32.ChePro, ale z pewnymi ulepszeniami, które są trudne do wykrycia i przeanalizowania.
W kampanii phishingowej wykorzystano szablon e-maila ze złośliwym załącznikiem o nazwie FacturaNovembro-4492154-2019-10_8.zip. W pierwszym etapie Lampion generuje losowe nazwy, które zostaną nadane złośliwemu plikowi tekstowemu utworzonemu na zainfekowanym urządzeniu, a następnie rozszyfrowuje adres URL do pobrania złośliwego oprogramowania. Następnie zbiera dane ze schowka, dysku oraz przeglądarek i wysyła je na serwer Command&Control (C&C, C2), jeśli otrzyma z niego takie żądanie.