Toddler Android Banking Malware skaber et stænk igen
Toddler-bank malware er ikke ligefrem helt ny, men er stadig en relativt ny ankomst. Det sprang først på sikkerhedsforskernes radarer i januar 2021 og er blevet set i kampagner, der angriber Android-brugere i flere lande på det kontinentale Europa. Malwaren skaber overskrifter igen, efter at sikkerhedsforskere med PRODAFT Threat Intelligence-teamet offentliggjorde en detaljeret rapport, som ZDNet rapporterede om.
Toddler er blevet set i angreb udført mod ofre ved hjælp af så mange som 60 forskellige europæiske banker. En sommer 2021-rapport sagde, at de fleste af angrebene var fokuseret på brugere i Spanien og Italien, men der var bestræbelser på at sprede småbørn i andre kontinentaleuropæiske lande såvel som i Storbritannien.
Den primære distributionsmetode til Android-malware er .apk-filer hentet fra andre kilder end den officielle Google Play-butik. Indtil videre har der ikke været noget bevis for, at apps bærer småbørn i den officielle Google-butik. Der har dog været tilfælde af legitime websteder, der har været vært for småbørn, efter at de er blevet kompromitteret af hackerne.
Alle tilfælde af ægte mobile infektioner, der viste sig at være småbørn, har alle målrettet mod de samme 18 banker. Interessant nok har størstedelen af infektionerne alle været fokuseret på kun 5 af disse 18 finansielle institutioner. Ifølge sikkerhedsforskerne, der har samlet dataene i rapporten, kan dette være tegn på en tidligere phishing-kampagne, der blev udført ved hjælp af SMS-beskeder. Spanien er det største hotspot for angreb, og i alt over 7600 Android-enheder er blevet ramt af Toddler.
Toddler er omtrent lige så alsidig som de fleste andre populære bank-malware. Det har evnen til at stjæle bankoplysninger, tage skærmbilleder, endda opfange indgående multi-faktor identifikationskoder, opfange SMS-beskeder og behandle indkommende kommandoer fra dets kommando- og kontrolservere.
Når det kommer til at høste bankoplysninger, bruger Toddler et overlay, der efterligner legitime loginskærme. Malwaren har en indbygget Android-app-skærm, og så snart brugeren lancerer deres legitime bankværktøj på deres telefon eller tablet, skyder overlayet op, klar til at stjæle det, der er angivet i det.
En anden funktion, der gør Toddler særlig interessant, er dens ekstremt stædige vedholdenhedsmekanismer. Malwaren forhindrer Android-enheden i at genstarte, og forskere understregede, at processen involveret i at fjerne småbørn fra en enhed kræver "enorm teknisk ekspertise".
