Peuter Android Banking Malware maakt weer een plons
De Toddler banking-malware is niet bepaald gloednieuw, maar is nog steeds een relatief nieuwe aankomst. Het verscheen voor het eerst op de radars van beveiligingsonderzoekers in januari 2021 en werd opgemerkt in campagnes die Android-gebruikers aanvielen in verschillende landen op het vasteland van Europa. De malware haalt opnieuw de krantenkoppen, nadat beveiligingsonderzoekers met het PRODAFT Threat Intelligence-team een gedetailleerd rapport publiceerden waarover ZDNet rapporteerde.
Peuter is gesignaleerd bij aanvallen op slachtoffers met maar liefst 60 verschillende Europese banken. Een zomerrapport van 2021 verklaarde dat de meeste aanvallen gericht waren op gebruikers in Spanje en Italië, maar er waren pogingen om Toddler te verspreiden in andere continentale Europese landen, evenals in het VK.
De primaire distributiemethode voor de Android-malware zijn .apk-bestanden die zijn verkregen van andere bronnen dan de officiële Google Play Store. Tot nu toe zijn er geen aanwijzingen dat apps Toddler dragen in de officiële Google Store. Er zijn echter gevallen geweest van legitieme websites die Toddler hebben gehost, nadat ze zijn gecompromitteerd door de hackers.
Alle gevallen van echte mobiele infecties die Peuter bleken te zijn, waren allemaal gericht op dezelfde 18 banken. Interessant is dat de meeste infecties allemaal gericht waren op slechts 5 van die 18 financiële instellingen. Volgens de beveiligingsonderzoekers die de gegevens in het rapport verzamelden, kan dit wijzen op een eerdere phishing-campagne die is uitgevoerd met sms-berichten. Spanje is de grootste hotspot voor aanvallen en in totaal zijn meer dan 7600 Android-apparaten getroffen door Toddler.
Toddler is ongeveer net zo veelzijdig als de meeste andere populaire bankmalware. Het heeft de mogelijkheid om bankgegevens te stelen, schermafbeeldingen te maken, zelfs inkomende multi-factor identificatiecodes te onderscheppen, sms-berichten te onderscheppen en inkomende opdrachten van zijn commando- en controleservers te verwerken.
Als het gaat om het verzamelen van bankgegevens, gebruikt Toddler een overlay die legitieme inlogschermen nabootst. De malware heeft een ingebouwde Android-app-monitor en zodra de gebruiker zijn legitieme banktool op zijn telefoon of tablet start, wordt de overlay geactiveerd, klaar om te stelen wat erin wordt ingevoerd.
Een ander kenmerk dat Toddler bijzonder interessant maakt, zijn de extreem hardnekkige persistentiemechanismen. De malware zal voorkomen dat het Android-apparaat opnieuw wordt opgestart en onderzoekers onderstreepten dat het proces om Toddler van een apparaat te verwijderen "enorme technische expertise" vereist.
