Stručnjaci iz tima Kaspersky GReAT identifikovali su nove kampanje brazilskog bankarskog trojanca GoPix koje karakteriše do sada nepoznata složenost, kao i novu android kampanju malvera maskiranu u aplikaciju Starlink. Prvi na udaru Brazilci ali to u sajbersvetu znači novi globalni „požar“
Trojanax GoPix zlonamervni je softver je aktivan poslednje tri godine i koristi implantate koji funkcionišu isključivo u memoriji, Proxy AutoConfig (PAC) fajlove za napade tipa „čovek u sredini“ (man-in-the-middle) i zlonamerno oglašavanje putem Google Ads-a kako bi ciljao klijente brazilskih finansijskih institucija i korisnike kriptovaluta, upozoravaju iz kompanije za sajberbezbednost Kaspersky.
„GoPix je dostigao nivo sofisticiranosti kakav do sada nije viđen kod zlonamernog softvera. Ovu pretnju pratimo od 2023. godine; ona je i dalje veoma aktivna, a broj detekcija stalno raste svake godine: zaključno sa martom 2026. godine već je zabeleženo ukupno 90.000 pokušaja infekcije. Pretnja koristi prikrivene metode infekcije i izbegava detekciju od strane bezbednosnog softvera, primenjujući nove tehnike kako bi ostala operativna“, rekao je Fabio Asolini, rukovodilac jedinica za Ameriku i Evropu u okviru Kaspersky GReAT (Global Research and Analysis Team).
Početna infekcija ostvaruje se kroz zlonamerno oglašavanje (malvertising): akteri pretnje često koriste Google Ads za distribuciju mamaca zloupotrebljavajući popularne servise kao što su WhatsApp, Google Chrome i brazilska poštanska služba Correios, navodeći žrtve na zlonamerne landing stranice.
Kada korisnik dospe na GoPix landing stranicu, maliciozni softver koristi legitimne sisteme za ocenjivanje IP adresa kako bi utvrdio da li je posetilac potencijalno vredna meta ili bot koji radi u okruženju za analizu zlonamernog softvera. Ako se proceni da korisnik nije vredna meta, maliciozni softver se ne isporučuje.
GoPix je sada sposoban da izvršava napade tipa „čovek u sredini“ (man-in-the-middle), nadgleda Pix transakcije i Boleto uplatnice, kao i da manipuliše transakcijama kriptovaluta — što omogućava GoPix-u da efikasno presreće, nadgleda i manipuliše mrežnim saobraćajem. Zlonamerni softver strateški zaobilazi bezbednosne mehanizme koje su implementirale finansijske institucije, istovremeno održavajući postojanost u sistemu i koristeći robusne rutine čišćenja osmišljene da otežaju napore digitalne forenzike i reagovanja na incidente (DFIR).
Prema sprovedenom istraživanju, čini se da brazilska grupa koja stoji iza GoPix-a usvaja tehnike koje se obično povezuju sa APT grupama kako bi održala postojanost i prikrila svoj zlonamerni softver. Njihov pristup uključuje učitavanje modula direktno u memoriju i ostavljanje minimalnih artefakata na disku, što smanjuje efikasnost lova na pretnje zasnovanog na YARA pravilima, kao i korišćenje C2 servera sa veoma kratkim životnim vekom. Zlonamerni softver takođe može da prelazi između procesa kako bi obavljao određene funkcije i potencijalno onemogućio bezbednosni softver.
Ceo izveštaj o oovom malveru možete naći na Securelist.com.
Da bi se smanjio rizik od bankarskih trojanaca poput GoPix-a, stručnjaci iz Kaspersky GReAT-a preporučuju:
- Budite oprezni prilikom klikanja na oglase dok surfujete internetom kako biste izbegli pristup zlonamernim odredišnim stranicama. Ako ste zainteresovani za neku aplikaciju, bezbednije je da je preuzmete iz zvanične prodavnice aplikacija.
- Koristite sveobuhvatno rešenje za digitalnu zaštitu kako biste obezbedili svoje finansijske transakcije — ono proverava autentičnost poznatih sistema za onlajn plaćanje i bankarskih veb-sajtova.
- Održavajte sav softver na računaru ažurnim.
- Budite oprezni prilikom primene ažuriranja.
- Preuzimajte softver samo iz zvaničnih izvora i izbegavajte opcione dodatne pakete.
Nova Android kampanju malvera maskiranu u aplikaciju Starlink
Kaspersky GReAT prethodno je otkrio i novu kampanju android malvera u kojoj sajber-kriminalci distribuiraju trojanca BeatBanker pod maskom aplikacije Starlink za Android.
Akteri pretnji takođe prvenstveno ciljaju korisnike iz Brazila, ali stručnjaci kompanije Kaspersky ne isključuju mogućnost da se sa ovom pretnjom suoče i korisnici iz drugih zemalja. Trojanac koristi rudar kriptovalute Monero, a dodatno instalira i alat za udaljenu administraciju BTMOB (Remote Administration Tool – RAT) na zaraženim uređajima. Kako bi obezbedio postojanost na uređaju, BeatBanker koristi neuobičajen mehanizam koji uključuje gotovo nečujnu audio-datoteku koja se automatski ponavlja bez prekida.
„U početku smo uočili da se BeatBanker distribuira pod maskom aplikacije za javne usluge; instalirao je bankarski trojanac zajedno sa rudarom kriptovalute. Međutim, naše nedavne aktivnosti detekcije otkrile su novu kampanju sa drugom varijantom BeatBanker-a koja umesto bankarskog modula implementira BTMOB RAT. Napadači izgleda koriste novu `mamac strategiju` sa aplikacijom Starlink kako bi dosegli veći broj žrtava u različitim zemljama. Zbog toga je važno da korisnici ostanu oprezni i koriste napredna rešenja za zaštitu svojih pametnih telefona“, izjavio je Fabio Asolini.
Početni vektor infekcije
Stručnjaci kompanije Kaspersky veruju da sajber-kriminalci distribuiraju lažnu aplikaciju Starlink koja sadrži trojanca BeatBanker putem fišing stranica koje imitiraju Google Play prodavnicu. Nakon pokretanja na kompromitovanom uređaju, trojanac prikazuje korisnički interfejs koji takođe imitira Google Play. Sajber-kriminalci obmanjuju žrtve da odobre dozvole za instalaciju, čime se omogućava preuzimanje dodatnih skrivenih zlonamernih komponenti.
Modul za rudarenje kriptovalute i BTMOB RAT
Kada korisnik klikne dugme UPDATE na lažnoj stranici Google Play-a, aktivira se rudar kriptovalute Monero. BeatBanker prati procenat napunjenosti baterije, temperaturu zaraženog pametnog telefona i aktivnost korisnika, nakon čega po potrebi pokreće ili zaustavlja skriveni rudar kriptovalute.
Android trojanac takođe instalira BTMOB RAT na kompromitovani uređaj. BTMOB omogućava potpunu udaljenu kontrolu nad uređajem i prodaje se kao usluga po modelu Malware-as-a-Service (MaaS). Ovaj alat je sposoban da automatski dodeljuje dozvole aplikacijama, sakriva sistemska obaveštenja i koristi mehanizme za presretanje podataka za otključavanje ekrana, uključujući PIN kodove, obrasce za otključavanje i lozinke. Malver takođe omogućava sajber-kriminalcima pristup prednjoj i zadnjoj kameri uređaja, praćenje GPS lokacije i kontinuirano prikupljanje osetljivih podataka.
Kako bi obezbedio trajnost infekcije i otežao deinstalaciju, BeatBanker održava stalno obaveštenje u prvom planu i aktivira foreground servis sa tihom reprodukcijom audio medija. Ova taktika je osmišljena tako da spreči operativni sistem da ukloni zlonamerni proces.
Kaspersky proizvodi ovu pretnju detektuju kao HEUR:Trojan-Dropper.AndroidOS.BeatBanker i HEUR:Trojan-Dropper.AndroidOS.Banker.*.
Više informacija dostupno je na portalu Securelist.
Kako bi korisnici ostali zaštićeni od mobilnih sajber pretnji, Kaspersky preporučuje sledeće:
- Preuzimajte aplikacije samo iz zvaničnih prodavnica aplikacija, kao što su Apple App Store i Google Play. Ipak, imajte u vidu da ni preuzimanje iz zvaničnih prodavnica nije uvek potpuno bez rizika.
- Uvek proverite ocene i komentare aplikacija, koristite linkove samo sa zvaničnih sajtova i instalirajte pouzdan bezbednosni softver, kao što je Kaspersky Premium, koji može otkriti i blokirati zlonamerne aktivnosti ukoliko se aplikacija pokaže kao prevara.
- Proveravajte dozvole aplikacija koje koristite i pažljivo razmotrite pre nego što ih odobrite, naročito kada se radi o rizičnim dozvolama kao što su Accessibility Services.
- Redovno ažurirajte operativni sistem i važne aplikacije čim ažuriranja postanu dostupna, jer se mnogi bezbednosni problemi rešavaju instaliranjem novih verzija softvera.
