DAJ CYNK

Atak na pieniądze Polaków. Anubis w parę chwil czyści każde konto

Anna Rymsza (Xyrcon)

Bezpieczeństwo

Android zagrożony trojanami kradnącymi pieniądze

Pieniądze mają to do siebie, że trudno je zdobyć, a łatwo stracić. Czasami wystarczy „złapać” trojana bankowego na swoim smartfonie z Androidem.

W minionym miesiącu właśnie trojan bankowy – Anubis – był na szczycie listy najczęściej spotykanych zagrożeń na smartfony. Pecety również cierpiały z powodu licznych ataków. Tu na pierwszym miejscu był Qbot, rozprzestrzeniający się zwykle za pośrednictwem dokumentów. Nie pomagają wysiłki, by blokować uruchamianie makr w Wordzie, od niedawna Qbot wykorzystuje także lukę w programie WordPad na Windowsie 10.

Android zagrożony trojanami

Trojan Anubis, odpowiedzialny za znikające z kont pieniądze, ma już kilka lat i jest niezmiennie groźny. Co ciekawe, nie używa nakładki udającej stronę banku albo aplikację bankową. Anubis potrafi rejestrować wpisany na klawiaturze tekst i robić zrzuty ekranu – to wystarczy, by skutecznie okradać właścicieli zainfekowanych smartfonów. Z czasem Anubis dorobił się także możliwości nagrywania dźwięku i zapewniania zdalnego dostępu do urządzenia. W ostatnim czasie został znaleziony w setkach różnych aplikacji w Google Play.

Zobacz: Użytkownicy Windows i Androida zagrożeni jak nigdy. Rok 2023 będzie ciężki

Drugą pozycję zajął trojan odkryty w 2017 roku o nazwie AhMyth. On również rozprowadzany jest razem z aplikacjami i zdarza się, że trafi do sklepu. AhMyth potrafi zbierać wrażliwe informacje, zapisywać tekst z klawiatury, robić zrzuty ekrany, wysyłać SMS-y, a nawet włączyć kamerę smartfonu.

Hiddad znalazł się na trzeciej pozycji wśród zagrożeń dla Androida. Jego głównym zadaniem jest bombardowanie użytkowników reklamami, ale potrafi też wydobyć nieco informacji ze smartfonu.

Windows. Qbot kradnie od 2008 

Qbot to wielozadaniowy malware, pierwszy raz odkryty w 2008 roku. Przez ten czas kradł dane użytkowników, rejestrował znaki wpisane na klawiaturze, wykradał ciasteczka z przeglądarek, kradł informacje bankowe, a nawet ściągał kolejne szkodliwe programy. Zwykle rozprzestrzenia się przez e-mail i ma sporo mechanizmów, które utrudniają wykrycie. W 2022 roku wypłynął na szerokie wody, a w maju 2023 był najczęściej infekującym trojanem dla Windowsa. Udało mu się dostać aż do 6% firm na całym świecie.

Tuż za nim uplasował się Formbook. Temu złodziejowi informacji udało się przeniknąć aż do 5% firm. Jego głównym zadaniem jest wykradanie informacji z Windowsa. Pierwszy raz został wykryty w 2016 roku i, co ciekawe, jest dostępny w modelu malware-as-a-service. To znaczy, że można go wynająć i użyć do własnych kampanii. Został wyposażony w sporo mechanizmów utrudniających wykrycie i jest dość tani jak na swoje możliwości.

AgentTesla, zaawansowany RAT i keylogger, spadł na trzecie miejsce. W jego arsenale jest nawet wykradanie danych z innych programów, w tym przeglądarek i Outlooka. Jego zasięg został oszacowany na 3% firm.

Interesująca jest pozycja czwarta, czyli GuLoader. Od grudnia 2019 roku to często spotykany „ściągacz” innych wirusów (w tym Frombooka), działający często mimo zabezpieczeń antywirusowych. Specjaliści znaleźli jego nową wersję, która jest zdolna zakamuflować się w procesie innego programu. Dzięki temu unika wykrycia przez programy antywirusowe.

Jako że ściągany malware jest zaszyfrowany, cyberprzestępcy mogą wykorzystywać nawet nieźle chronione chmury publiczne, jak Dysk Google. To prowadzi do kolejnej zmiany w działaniu i nowych niebezpieczeństw. Dysk Google i jemu podobne cieszą się dobrą opinią, bo w końcu stoją za nimi szanowane firmy. Doświadczenie pokazuje, że nawet im nie można ufać bezkrytycznie.

Na kolejnych pozycjach znalazły się: Emotet, XMRig, NJRat, Lokibot, NanoCore i Remcos. Najczęściej atakowane były sektory edukacji i badań, rządowy i wojskowy, a także opieka zdrowotna.

Powyższe dane pochodzą z raportu Global Threat Index, przygotowanego przez specjalistów z firmy CheckPoint.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Przemon / Shutterstock

Źródło tekstu: CheckPoint, oprac. własne