Android zlonamerna programska oprema: Golddigger & Gigabud cilja na letalske potnike

Porast zaznav malwareja Gigabud od julija 2024 kaže na okrepljeno kampanjo, ki uporablja sofisticirane phishing taktike za širjenje prek lažnih aplikacij letalskih prevoznikov na ponaredkih Google Play Store.

S širjenjem svojega geografskega dosega, ki vključuje Bangladeš, Indonezijo, Mehiko, Južno Afriko in Etiopijo, Gigabud kaže usklajen pristop z malwarejem Golddigger, kar kaže na skupnega napadalca.

Razširjene funkcionalnosti malwareja preko več kot 30 API točk kažejo na nenehno evolucijo njegovih sposobnosti.

Gigabud, Android bančni trojanec, ki je sprva ciljal na jugovzhodno Azijo, se je razvil, deli kodo z malwarejem Golddigger in širi svoj doseg v Bangladeš, Indonezijo, Mehiko, Južno Afriko in Etiopijo.

Phishing strani, ki distribuirajo lažne aplikacije Ethiopian Airlines

Napadalci za Gigabud uporabljajo phishing strani, ki posnemajo zakonite entitete, kot so južnoafriške in etiopske letalske družbe, za distribucijo škodljivih aplikacij v preobleki uradnih aplikacij.

Prekrivanje kode med Gigabud in Golddigger nakazuje na skupno infrastrukturo ali razvojno ekipo, kar napadalcem omogoča hitrejši razvoj in uvajanje novih različic malwareja.

Gigabud malware je razširil ciljanje na Mehiko, pri čemer se predstavlja kot banka HeyBanco z lažno prijavno stranjo. Ti škodljivi vzorci, ki izvirajo iz Mehike in so zaznani na VirusTotal, kažejo na koncentriran napor pri ciljanju mehiških uporabnikov.

Poleg tega je bilo opaženo, da malware posnema indonezijsko davčno vladno entiteto, M-Pajak, kar kaže na širši geografski obseg za Grožnjo Gigabud.

Lažna prijavna stran HeyBanco, ki jo naloži malware (levo) v primerjavi z originalno stranjo HeyBanco (desno)

Malware je povečal svoje taktike zavajanja, pri čemer se predstavlja kot aplikacija indonezijske davčne oblasti M-Pajak, kar je podobno kot prej opažen phishing HeyBanco shemi.

Malware uporablja različne ikone za posnemanje zakonitih entitet, kar kaže na njegovo prilagodljivost in namen socialnega inženiringa žrtev v prenos škodljivih aplikacij, kar poudarja vse večjo sofistikacijo malwareja in širšo ciljno publiko.

Ikone, ki jih uporablja Gigabud malware

Distribucija malwareja se je močno povečala od junija 2024, kar kaže na nameren napor k širjenju bazena žrtev, kar kaže na strateški premik napadalcev proti širši razširitvi malwareja.

Raziskovalci pri CRIL so identificirali nove različice malwareja Gigabud, ki uporabljajo Virbox Packer, tehniko podobno Golddigger malwareju, za zameglitev kode in obhod zaznavanja, kar otežuje varnostnim orodjem analizo prave funkcionalnosti malwareja.

Uporaba Virbox Packer

Similarnosti v izvorni kodi med Gigabud in knjižnico “libstrategy.so,” uporabljeno v Golddigger, nakazujejo, da je Gigabud uporabil podoben način za ciljanje specifičnih UI elementov znotraj bančnih aplikacij, verjetno za krajo finančnih informacij.

Raziskovalci so analizirali odpakirane vzorce malwareja Gigabud in našli močne dokaze, da deli funkcionalnosti in kodo z malwarejem Golddigger, vključno z identično uporabo razredov, podobno kodo za prikaz lažnih bančnih dialogov in doslednimi C&C komunikacijskimi točkami z uporabo Retrofit knjižnice.

Čeprav zadnja različica Gigabud cilja na nove bančne aplikacije kot sta Yape in Dutch-Bangla Bank Rocket, vključuje tudi knjižnico “libstrategy.so” iz Golddigger, kar ji omogoča analiziranje UI elementov za različne ciljne bančne aplikacije in zaklenjene zaslone naprav različnih blagovnih znamk.

Omogoča Gigabudu izvajanje zlonamernih dejanj, kot je odklepanje naprave in kraja gesel, kar nakazuje visoko verjetnost, da je isti

Leave a Reply

Your email address will not be published. Required fields are marked *