Maluchy dla Androida Złośliwe oprogramowanie bankowe znów pojawia się na ekranie

Szkodliwe oprogramowanie bankowe dla małych dzieci nie jest zupełnie nowe, ale wciąż jest stosunkowo nowym nabytkiem. Po raz pierwszy pojawił się na radarach badaczy bezpieczeństwa w styczniu 2021 r. i został zauważony w kampaniach atakujących użytkowników Androida w kilku krajach Europy kontynentalnej. Złośliwe oprogramowanie ponownie pojawia się na pierwszych stronach gazet po tym, jak analitycy bezpieczeństwa z zespołu PRODAFT Threat Intelligence opublikowali szczegółowy raport, o którym poinformował ZDNet.

Maluch został zauważony w atakach przeprowadzonych na ofiary przy użyciu aż 60 różnych europejskich banków. W raporcie z lata 2021 r. stwierdzono, że większość ataków była skoncentrowana na użytkownikach w Hiszpanii i we Włoszech, ale podjęto wysiłki, aby rozprzestrzenić Toddler w innych krajach Europy kontynentalnej, a także w Wielkiej Brytanii.

Podstawową metodą dystrybucji złośliwego oprogramowania na Androida są pliki .apk uzyskane ze źródeł innych niż oficjalny sklep Google Play. Jak dotąd w oficjalnym sklepie Google nie było dowodów na to, by aplikacje przenoszące Toddler. Zdarzały się jednak przypadki legalnych witryn internetowych, które hostowały Toddler, po tym, jak zostały one zhakowane przez hakerów.

Wszystkie przypadki prawdziwych infekcji mobilnych, które okazały się Toddler, były skierowane do tych samych 18 banków. Co ciekawe, większość infekcji dotyczyła zaledwie 5 z tych 18 instytucji finansowych. Według badaczy bezpieczeństwa, którzy zebrali dane zawarte w raporcie, może to świadczyć o wcześniejszej kampanii phishingowej przeprowadzonej za pomocą wiadomości tekstowych SMS. Hiszpania jest największym hotspotem ataków, a łącznie ponad 7600 urządzeń z Androidem zostało dotkniętych przez Toddler.

Toddler jest mniej więcej tak wszechstronny, jak większość innych popularnych złośliwych programów bankowych. Ma możliwość kradzieży danych bankowych, robienia zrzutów ekranu, a nawet przechwytywania przychodzących wieloskładnikowych kodów identyfikacyjnych, przechwytywania wiadomości SMS i przetwarzania przychodzących poleceń z serwerów dowodzenia i kontroli.

Jeśli chodzi o zbieranie danych uwierzytelniających do banków, Toddler używa nakładki, która imituje prawidłowe ekrany logowania. Szkodnik ma wbudowany monitor aplikacji na Androida i gdy tylko użytkownik uruchomi swoje legalne narzędzie bankowe na swoim telefonie lub tablecie, nakładka uruchamia się, gotowa ukraść wszystko, co do niego wejdzie.

Kolejną cechą, która sprawia, że Maluch jest szczególnie interesujący, są jego niezwykle uparte mechanizmy trwałości. Złośliwe oprogramowanie uniemożliwi ponowne uruchomienie urządzenia z Androidem, a badacze podkreślili, że proces związany z usuwaniem Malucha z urządzenia wymaga „ogromnej wiedzy technicznej”.