Group IB

Новый троян атакует онлайн-банки и криптокошельки пользователей Android

17.06.2022
Новый троян атакует онлайн-банки и криптокошельки пользователей Android

Компания F5 Labs обнаружила новое вредоносное ПО для Android, которое нацелено на клиентов онлайн-банкинга и криптовалютных кошельков в Испании и Италии. Троян MaliBot позволяет злоумышленнику:

  • красть учетные данные и cookie файлы ;
  • обходить многофакторную аутентификацию (MFA);
  • использовать службу специальных возможностей Android для мониторинга экрана устройства жертвы.
MaliBot маскируется под приложения для майнинга криптовалюты (Mining X и The CryptoApp), которые распространяются через мошеннические веб-сайты. MaliBot использует смишинг для распространения зловредных программ путем отправки фишинговых SMS-сообщений с ссылками на вредоносное ПО.

«Центр управления и контроля MaliBot (Command and Control, C2) находится в России и на тех же серверах, которые использовались для распространения вредоносного ПО Sality. Это модифицированный троян SOVA с другой функциональностью, целями, C2-серверами, и доменами», — сказал исследователь F5 Labs Дор Низар.

MaliBot нацелен на банки UniCredit, Santander, CaixaBank и CartaBCC. Троян может считывать 2FA коды из приложения Google Authenticator, а также раскрыть общий баланс и сид-фразы кошелька Binance и Trust Wallet.

«Универсальность MaliBot и контроль над устройством означают, что троян можно использовать для более широкого спектра атак, чем кража учетных данных и криптовалюты», — заявили исследователи.