Coyote Banking Trojan richt zich op tientallen apps
Onderzoekers hebben een nieuwe bank-trojan geïdentificeerd, genaamd "Coyote", die is ontworpen om inloggegevens voor 61 toepassingen voor online bankieren aan te vallen. Uit analyse blijkt dat Coyote, dat vooral de banksector in Brazilië treft, opvalt door zijn brede doelgroep en de ingewikkelde integratie van verschillende basis- en geavanceerde componenten.
Het maakt gebruik van een nieuw open source-installatieprogramma genaamd Squirrel, samen met NodeJs, de programmeertaal "Nim" en meer dan een dozijn kwaadaardige functionaliteiten. Deze Trojan markeert een belangrijke evolutie in het financiële malwarelandschap van Brazilië en vormt potentiële uitdagingen voor beveiligingsteams als de reikwijdte ervan wordt uitgebreid.
Coyote zou op dezelfde manier kunnen evolueren als Emotet
Hoewel de focus momenteel op Brazilië ligt, bestaat er bezorgdheid dat Coyote zijn impact zou kunnen vergroten. Eerdere gevallen met andere malwarefamilies, zoals Emotet en Trickbot, benadrukken de neiging van banktrojans om te evolueren naar uitgebreide initiële toegangstrojans en backdoors.
Coyote vertoont typisch banktrojan-gedrag door verbinding te maken met een door de aanvaller bestuurde command-and-control-server wanneer deze wordt geactiveerd op een geïnfecteerd apparaat. Vervolgens wordt er een phishing-overlay op het scherm van het slachtoffer weergegeven om inloggegevens vast te leggen wanneer een compatibele app wordt geactiveerd.
Wat Coyote onderscheidt, is zijn poging om detectie te voorkomen, waarbij hij de open source-tool Squirrel gebruikt om zijn initiële fase-lader te verhullen en de relatief ongebruikelijke programmeertaal "Nim" gebruikt voor zijn laatste fase-lader.
Deze unieke aanpak stelt cybersecurity-verdedigers voor uitdagingen, omdat Coyote afwijkt van het algemene gebruik van Windows Installers door andere banktrojans. Beveiligingsteams worden dringend verzocht waakzaam te blijven, gezien de historische trend dat dergelijke dreigingen zich verder uitbreiden dan hun oorspronkelijke doelwitten.