"הסנדק": סוס טרויאני פגע ב-400 חברות שירותים פיננסיים
אחת מהאפליקציות הבנקאיות שעמדו במוקד המתקפה - מישראל ● חברת האבטחה הרוסית במקור שגילתה את הסוס הטרויאני ציינה שהוא "היה מאוד פורה, לפחות מאז יוני 2021"
משתמשים במאות יישומים בנקאיים, ארנקי מטבעות קריפטוגרפיים ובורסות קריפטו היוו מטרה למתקפות על ידי סוס טרויאני סלולרי לעולם הבנקאי – כך חשפה ספקית מוצרי אבטחת מידע רוסית במקור. לדבריה, אחד היישומים הבנקאיים שהותקף על ידי הטרויאני נמצא בישראל – אולם היא לא ציינה באיזה יישום מדובר. לעומת זאת, החברה כן ציינה בדו"ח שהוציאה כי הסוס הטרויאני המדובר "היה מאוד פורה, לפחות מאז יוני 2021".
לפי Group-IB, ספקית אבטחה רוסית במקור שממוקמת בסינגפור, נכון לאוקטובר 2022, הטרויאני נמצא ב-215 בנקים גלובליים, 94 ארנקי מטבעות קריפטוגרפיים ו-110 פלטפורמות של בורסות קריפטו. רוב החברות שהיוו יעד למתקפה שלו נמצאות בארצות הברית (49), טורקיה (31), ספרד (30), קנדה (22), גרמניה (19), צרפת (20) ובריטניה (17). בכמה מדינות אותר יישום בנקאי אחד בכל אחת מהן: ישראל, כוויית, שווייץ, אירלנד וגוואטמלה. אנליסטים ציינו כי אף אחד מיעדי המתקפה לא נמצא במדינות ברית המועצות לשעבר – מה שמרמז שייתכן שהתוקפים הם רוסים.
בניתוח הפעילות של הטרויאני, 50.9% מכלל המתקפות שלו כוונו נגד אפליקציות בנקאיות, 22.2% נגד ארנקי קריפטו ו-25.7% – נגד בורסות קריפטו.
אנוביס 2.0
הנוזקה, שזכתה לשם הסנדק (Godfather) – ככל הנראה על שמה של סדרת הסרטים המפורסמת, מוסתרת באפליקציות בעלות מראה לגיטימי ב-Google Play, כאשר המטען מזויף כדי להיראות שהוא כביכול מוגן על ידי גוגל (Google Protect). היא מבוססת על חלק ישן של נוזקה מסוג סוס טרויאני בנקאי, הידועה בשם אנוביס (Anubis). זו עברה מודרניזציה, כדי שתוכל לכלול בה פרוטוקול תקשורת שונה, לטובת שליטה ובקרה (C&C), אלגוריתם הצפנת תעבורה ותכונות אחרות. מהנוזקה החדשה הוסרו חלק מהפונקציות הישנות שהיו באנוביס – כולל הצפנת קבצים, הקלטת אודיו, נתוני מיקום וקבלת מידע.
כאשר משתמש מקבל הודעת פיתוי, או מנסה לפתוח את אחת מהאפליקציות הלגיטימיות שהסנדק טירגט אותה, הנוזקה מציגה לו שכבת על מזויפת של האינטרנט, ואז היא קוצרת שמות משתמש, סיסמאות וכן קודים לאימות דו שלבי, מבוססי SMS.
עוד ציינו החוקרים כי לנוזקה יש יכולת להפעיל מעקב אחר הקלדות המשתמשים (Keyloggers), לבצע צילומי מסך של מכשיר הקורבן ולקצור סוגי מידע נוספים.
אנליסטים: "השיטות של מפעילי הסנדק מעוררות דאגה"
לפי חוקרי Group-IB, הם עקבו אחר פעילות התוקפים בערוץ בטלגרם, וממנו עולה שהטרויאני הסנדק מופץ במודל נוזקה כשירו. לדבריהם, "על ידי הידמות ל-Google Protect, הסנדק הטרויאני יכול בקלות להישאר בלא זיהוי במכשירים הנגועים. משתמשים שלא יודעים שהותקפו והודבקו בנוזקה מאמינים שהם מוגנים על ידי אנדרואיד, אבל למעשה, שחקני האיום הזדוניים מצליחים לקבל גישה לחשבונות הבנקים ולפורטל הפיננסי שלהם".
אנליסטים ציינו כי "בעוד שלספקית האבטחה אין נתונים סופיים על כמות הכסף שנגנב על ידי מפעילי הסנדק, הרי השיטות ששחקני האיום הזדוניים מהסנדק רתמו לטובת המתקפות שלהם מעוררות דאגה".
תגובות
(0)