Groźne narzędzia buszują po telefonach. Lepiej patrz, w co klikasz

Firma Zimperium, zajmująca się bezpieczeństwem mobilnym, ujawniła kluczowe informacje na temat kampanii malware Gigabud, która łączy się z niebezpiecznym oprogramowaniem Spynote RAT (Remote Access Trojan) na Androida.

Zidentyfikowana po raz pierwszy przez firmę Cyble w sierpniu 2024 roku, kampania wykorzystuje fałszywe strony phishingowe, aby instalować złośliwe aplikacje mobilne, głównie z sektora finansowego. Gigabud manipuluje użytkownikami, aby przyznawali aplikacjom wrażliwe uprawnienia, co prowadzi do nieautoryzowanych transakcji, natomiast Spynote umożliwia hakerom pełną kontrolę nad zainfekowanymi urządzeniami.

Kluczowe zagrożenia wynikające z nowej kampanii malware

• Połączone ataki: Badania zLabs wskazują na silne powiązania między malware Gigabud a Spynote. Obie rodziny złośliwego oprogramowania rozprzestrzeniają się poprzez te same domeny, co sugeruje, że stoją za nimi te same osoby. Spynote daje przestępcom możliwość zdalnego przejęcia urządzenia, kradzieży danych, nagrywania mediów i śledzenia lokalizacji, podczas gdy Gigabud skupia się na kradzieży danych logowania do aplikacji bankowych;

• Globalne cele: Kampania atakuje instytucje finansowe na całym świecie, a phishingowe strony podszywają się pod znane marki, takie jak Ethiopian Airlines, platformy e-commerce i usługi rządowe. Zidentyfikowano do tej pory 79 stron phishingowych oraz 11 serwerów odpowiadających za te ruchy;

• Nowe ukierunkowanie: kampania koncentruje się teraz na aplikacjach finansowych, atakując ponad 50 aplikacji mobilnych, w tym 40 banków i 10 platform kryptowalutowych;

• Zaawansowana ochrona: Malware wykorzystuje Virbox, zaawansowany system ukrywania kodu, który utrudnia jego wykrycie, co sprawia, że tradycyjne metody zabezpieczeń są mniej skuteczne.

Współpraca między Gigabud a Spynote pokazuje, jak złożone stają się ataki na urządzenia mobilne. Malware koncentruje się głównie na aplikacjach bankowych, ale istnieje ryzyko, że zainfekowane urządzenia mogą również atakować aplikacje korporacyjne, co prowadzi do kradzieży danych i potencjalnych włamań do sieci firmowych.

To kolejny rodzaj skutecznych ataków na nasze telefony, dlatego radzimy uważać na każdą aplikację, której przyznajemy jakiekolwiek uprawnienia i dostępy.