Småbarn Android Banking Malware gör ett stänk igen
Småbarnsbankens skadliga program är inte precis helt nytt, men är fortfarande en relativt ny ankomst. Det släppte först på säkerhetsforskares radar i januari 2021 och har upptäckts i kampanjer som attackerar Android-användare i flera länder på kontinentaleuropa. Skadlig kod gör rubriker igen, efter att säkerhetsforskare med PRODAFT Threat Intelligence-teamet publicerade en detaljerad rapport som ZDNet rapporterade om.
Småbarn har blivit upptäckt i attacker mot offer med så många som 60 olika europeiska banker. En sommarrapport 2021 uppgav att de flesta attackerna var inriktade på användare i Spanien och Italien, men det fanns ansträngningar för att sprida småbarn i andra kontinentaleuropeiska länder såväl som i Storbritannien.
Den primära distributionsmetoden för Android-malware är .apk-filer som erhållits från andra källor än den officiella Google Play-butiken. Hittills har det inte funnits några bevis för att appar bär småbarn i den officiella Google-butiken. Det har dock förekommit fall av legitima webbplatser som har varit värd för småbarn, efter att de har komprometterats av hackarna.
Alla fall av verkliga mobila infektioner som visade sig vara småbarn har alla riktat sig mot samma 18 banker. Intressant är att majoriteten av infektionerna har fokuserats på bara 5 av de 18 finansinstituten. Enligt säkerhetsforskarna som samlade in uppgifterna i rapporten kan detta vara ett tecken på en tidigare nätfiskekampanj som genomfördes med SMS-meddelanden. Spanien är det största hotspotet för attacker och totalt har över 7600 Android-enheter drabbats av småbarn.
Småbarn är ungefär lika mångsidig som de flesta andra populära banktjänster. Den har förmågan att stjäla bankuppgifter, ta skärmdumpar, till och med avlyssna inkommande identifikationskoder med flera faktorer, fånga SMS-meddelanden och bearbeta inkommande kommandon från kommandoservrarna.
När det gäller att skörda bankuppgifter använder Toddler ett overlay som efterliknar legitima inloggningsskärmar. Skadlig programvara har en inbyggd Android-appmonitor och så snart användaren lanserar sitt legitima bankverktyg på sin telefon eller surfplatta, skjuts överlägget upp, redo att stjäla vad som helst som har lagts in i det.
En annan funktion som gör Toddler särskilt intressant är dess extremt envisa uthållighetsmekanismer. Skadlig programvara kommer att förhindra att Android-enheten startas om och forskare betonade att processen med att ta bort småbarn från en enhet kräver "enorm teknisk expertis".
