Småbarn Android Banking Malware skaper et sprut igjen
Småbarnsbank-skadelig programvare er ikke akkurat splitter ny, men er fortsatt en relativt ny ankomst. Den sprang først på sikkerhetsforskernes radarer i januar 2021 og har blitt oppdaget i kampanjer som angriper Android-brukere i flere land på det kontinentale Europa. Den skadelige programvaren skaper overskrifter igjen, etter at sikkerhetsforskere med PRODAFT Threat Intelligence-teamet publiserte en detaljert rapport som ZDNet rapporterte om.
Småbarn har blitt oppdaget i angrep utført mot ofre ved bruk av så mange som 60 forskjellige europeiske banker. En sommerrapport fra 2021 uttalte at de fleste av angrepene var fokusert på brukere i Spania og Italia, men det var innsats for å spre småbarn i andre kontinentaleuropeiske land, så vel som i Storbritannia.
Den primære distribusjonsmetoden for Android-skadelig programvare er .apk-filer hentet fra andre kilder enn den offisielle Google Play-butikken. Så langt har det ikke vært bevis for at apper bærer småbarn i den offisielle Google-butikken. Imidlertid har det vært tilfeller av legitime nettsteder som har vært småbarn, etter at de har blitt kompromittert av hackerne.
Alle forekomster av virkelige mobilinfeksjoner som viste seg å være småbarn har alle målrettet mot de samme 18 bankene. Interessant nok har flertallet av infeksjonene alle vært fokusert på bare 5 av de 18 finansinstitusjonene. I følge sikkerhetsforskerne som samlet dataene i rapporten, kan dette være en indikasjon på en tidligere phishing-kampanje som ble utført ved hjelp av SMS-tekstmeldinger. Spania er det største hotspotet for angrep, og til sammen over 7600 Android-enheter er blitt rammet av smårolling.
Småbarn er omtrent like allsidig som de fleste andre populære bank-malware. Den har muligheten til å stjele bankdetaljer, ta skjermbilder, til og med avskjære innkommende multifaktoridentifikasjonskoder, avskjære SMS-meldinger og behandle innkommende kommandoer fra kommando- og kontrollserverne.
Når det gjelder høsting av banklegitimasjon, bruker Toddler et overlegg som etterligner legitime påloggingsskjermbilder. Skadelig programvare har en innebygd Android-appovervåker, og så snart brukeren lanserer sitt legitime bankverktøy på telefonen eller nettbrettet, skyter overlegget opp, klar til å stjele det som er lagt inn i det.
En annen funksjon som gjør Toddler spesielt interessant er dens ekstremt sta utholdenhetsmekanismer. Skadelig programvare vil forhindre Android-enheten i å starte på nytt, og forskere understreket at prosessen som er involvert i å fjerne småbarn fra en enhet krever "enorm teknisk ekspertise".