троянски кон

Хакерите вече използват и физически писма, за да извършват кибератаки. Последният пример идва от Швейцария, където потребители са получили поща, съдържаща зловредни QR кодове. При активирането им на устройството на жертвата се изтегля зловреден софтуер. 

Според Швейцарския национален център за киберсигурност писмата се изпращат от името на местната метеорологична служба – MeteoSwiss. Те приканват получателя да инсталира ново „приложение за лошо време“.  

Но сканирането на QR кода инсталира банков троянски кон, известен като Coper или Octo2. Той се предлага по модела „зловреден софтуер като услуга” и има няколко усъвършенствани функции: 

• възможности за превземане на устройства и дистанционното им управление; 

• усъвършенствани техники за замаскиране и избягване на откриването; 

• кражба на входни данни за финансови приложения. 

В Швейцария името на фалшивото приложение е AlertSwiss, но киберпрестъпниците могат да го променят спрямо конкретната държава. 

Използването на QR кодове в обикновена поща предлага на престъпниците няколко предимства. Потребителите рядко очакват, че устройството им ще бъде заразено чрез нещо толкова аналогово като физическо писмо. В същото време QR кодовете обикновено се четат от мобилни устройства. А те все още се пренебрегват, когато става въпрос за инсталиране на софтуер за сигурност. 

Препоръчваме ви да поддържате устройствата си актуализирани. Когато сканирате QR код, трябва да го правите с приложение, което ви показва пълния URL адрес и ви пита, преди да го отвори. Деактивирайте тези, които нямат подобни функции. 

Зловредно приложение за Android може да прави неоторизирани трансфери в PayPal и дори да прескача защитни механизми като двуфакторна автентикация. Приложението е открито от анализаторите на ESET в един от неофициалните магазини за приложения за Android.

Наречено Optimization Android и представено като помощник за оптимизиране работата на батерията, приложението всъщност е троянски кон. Той краде данните за достъп до PayPal акаунта на потребителите, които са го инсталирали.

За да направи това, зловредното приложение разчита на Accessibility service – функционалност в Android, която се използва при разработката на приложения за хора с увреждания. Когато потребителят инсталира на смартофна си троянеца, то използва тази функционалсност, за да имитира въвеждането на данните за достъп до мобилното приложение на Paypal.

Това му позволява да прави трансфери в PayPal от името на потребителя, без той въобще да разбере.

„Когато потребителят стартира PayPal приложението, зловредният код мимикрира въведените от потребителя данни и ги използва след това, за да прави трансфери до адрес, контролиран от хакера“, коментират от ESET. Тъй като троянецът не краде данните за достъп (не ги изпраща към команден сървър), а изчаква потребителите сами да се логнат, това му позволява да прескочи и двуфакторната автентикация на PayPal.

Welivesecurity са публикували видео, което показва как действа зловредното приложение.

От ESET отчитат, че докато са анализирали троянския кон, той е опитал да направи трансфер на стойност 1000 евро от акаунта на заразения потребител.

Друга функция на зловредното приложение е да стартира фишинг екрани за популярни приложения като Viber и Skype. Това му позволява да краде данните за достъп до тези услуги.