Zanubis: Η απρόσμενη εξέλιξη του τραπεζικού Trojan και οι απειλές από τα κρυπτονομισμάτα

Οι ειδικοί της Kaspersky ανέλυσαν πρόσφατες επιθέσεις του Zanubis, ενός τραπεζικού Trojan που χαρακτηριστικό του είναι η ικανότητά του να παρουσιάζεται σαν μια επίσημη εφαρμογή.

Παράλληλα, η έρευνα της Κasperksy επισημαίνει τους κίνδυνους που προέρχονται από το cryptor/loader AsymCrypt και το εξελισσόμενο Lumma stealer, υπογραμμίζοντας την ανάγκη για ενισχυμένη ψηφιακή ασφάλεια. 

Το Zanubis, ένα Android τραπεζικό trojan, εντοπίστηκε πρώτη φορά τον Αύγουστο του 2022 και στοχεύει χρήστες τραπεζικών υπηρεσιών και κατόχους κρυπτονομισμάτων στο Περού, μιμούμενο νόμιμες εφαρμογές Android. Το Zanubis εξαπατά τους χρήστες ώστε να του παραχωρούν δικαιώματα προσβασιμότητας, δίνοντας ουσιαστικά τον έλεγχο των συσκευών τους. Τον Απρίλιο του 2023, το Zanubis μιμήθηκε την επίσημη εφαρμογή του περουβιανού κυβερνητικού οργανισμού SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), επιδεικνύοντας αυξημένη πολυπλοκότητα. Το Zanubis χρησιμοποιεί το Obfuscapk, ένα δημοφιλές Obfuscator για Android APK αρχεία. Μόλις πάρει άδεια πρόσβασης στη συσκευή, φορτώνει έναν αυθεντικό ιστότοπο SUNAT χρησιμοποιώντας το WebView, εξαπατώντας έτσι τον χρήστη.

Το Zanubis, για να επικοινωνεί με τον controlling server, χρησιμοποιεί WebSockets και μια βιβλιοθήκη που ονομάζεται Socket.IO. Αυτό του επιτρέπει να προσαρμόζεται και να παραμένει συνδεδεμένο υπό οποιαδήποτε συνθήκη. Σε αντίθεση με άλλα κακόβουλα λογισμικά, το Zanubis δεν έχει μια σταθερή λίστα εφαρμογών-στόχων. Αντ’ αυτού, μπορεί να προγραμματιστεί εξ αποστάσεως για να κλέβει δεδομένα όταν εκτελούνται συγκεκριμένες εφαρμογές. Ταυτόχρονα, το Ζanubis έχει τη δυνατότητα να δημιουργεί μια δεύτερη σύνδεση, παρέχοντας στους χειριστές του τον πλήρη έλεγχο μιας παραβιασμένης συσκευής. Και το χειρότερο είναι ότι μπορεί να απενεργοποιήσει τη συσκευή του θύματος προσποιούμενο ότι πρόκειται για ενημέρωση Android. 

Στην ίδια έκθεση, οι ερευνητές της Kaspersky αναφέρονται και σε άλλες απειλές πέρα από το Zanubis. Ανακάλυψαν το AsymCrypt, ένα cryptor/loader που έχει σχεδιαστεί για να στοχεύει crypto wallets και το οποίο πωλείται σε παράνομα φόρουμ του διαδικτύου. Σύμφωνα με την έρευνα, πρόκειται για μια εξελιγμένη έκδοση του DoubleFinger loader που λειτουργεί ως “δόλωμα” σε μια υπηρεσία δικτύου TOR. Οι κακόβουλοι χρήστες προσαρμόζουν τους τρόπους επίθεσης, τους στόχους και τους τύπους stub για κακόβουλα DLL, κρύβοντας το payload σε ένα κρυπτογραφημένo blob μέσα σε μια εικόνα .png. Εάν ο χρήστης κλικάρει την png εικόνα, τότε αυτή αυτομάτως αποκρυπτογραφείται, ενεργοποιώντας το payload στη μνήμη.  

Επιπρόσθετα, οι ερευνητές της Kaspersky παρουσίασαν στην έκθεση και το Lumma stealer, μια συνεχώς εξελισσόμενη σειρά κακόβουλου λογισμικού. Αρχικά γνωστό ως Arkei, το Lumma – με νέα επωνυμία – διατηρεί το 46% των προηγούμενων χαρακτηριστικών του. Για να μολύνει ένα σύστημα, καμουφλάρεται ως μετατροπέας αρχείων από .docx σε .pdf, ενεργοποιώντας το payload του όταν τα αρχεία επανέρχονται με διπλή επέκταση .pdf.exe. Με την πάροδο του χρόνου, η κύρια λειτουργία όλων των παραλλαγών παρέμεινε η ίδια: κλοπή αποθηκευμένων αρχείων, αρχείων διαμόρφωσης και δεδομένα από crypto wallets. Αυτό το κάνει ενεργώντας ως επέκταση στον browser, αλλά υποστηρίζει επίσης και την αυτόνομη εφαρμογή Binance. Η εξέλιξη του Lumma περιλαμβάνει την απόκτηση δεδομένων σχετικά με τις διεργασίες του συστήματος, την αλλαγή στοιχείων της URL επικοινωνίας και τη βελτίωση των τεχνικών κρυπτογράφησης.  

«Οι κακόβουλοι χρήστες έχοντας ως μόνιμη επιδίωξη το χρηματικό κέρδος, επιχειρούν να εκμεταλλευθούν την αγορά των κρυπτονομισμάτων ή ακόμη και να υποδυθούν κυβερνητικούς οργανισμούς για να επιτύχουν τους στόχους τους. Το διαρκώς εξελισσόμενο τοπίο των κίνδυνων από κακόβουλο λογισμικό, με παραδείγματα το πολύπλευρο Lumma stealer και το Zanubis ως ένα ολοκληρωμένο τραπεζικό Trojan, υπογραμμίζει τη δυναμική φύση αυτών των απειλών. Η προσαρμογή σε αυτήν τη συνεχή μεταμόρφωση του κακόβουλου κώδικα και των τακτικών των κυβερνοεγκληματιών αποτελεί μια συνεχή πρόκληση. Για να προστατευτούν από αυτούς τους εξελισσόμενους κινδύνους, οι επιχειρήσεις και οι οργανισμοί πρέπει να παραμένουν σε εγρήγορση και να είναι καλά ενημερωμένοι. Οι εκθέσεις ειδικών διαδραματίζουν καθοριστικό ρόλο στην ενημέρωση για τα πιο πρόσφατα κακόβουλα εργαλεία και τις τεχνικές των επιτιθέμενων, δίνοντάς μας τη δυνατότητα να παραμείνουμε ένα βήμα μπροστά στη συνεχιζόμενη μάχη για την ψηφιακή ασφάλεια», σχολιάζει η Tatyana Shishkova, επικεφαλής ερευνήτρια ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Για να διαβάσετε την πλήρη έκθεση επισκεφτείτε τον ιστότοπο Securelist.com. 

Για να αποτρέψετε απειλές με οικονομικά κίνητρα, η Kaspersky συνιστά:

• Δημιουργήστε αντίγραφα ασφαλείας εκτός σύνδεσης, τα οποία δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά σε περίπτωση έκτακτης ανάγκης, όταν χρειαστεί.
• Εγκαταστήστε προστασία από ransomware για όλα τα  τερματικά σημεία. Υπάρχει το δωρεάν εργαλείο Kaspersky Anti-Ransomware Tool for Business που προστατεύει τους υπολογιστές και τους διακομιστές από ransomware και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει τα exploits και είναι συμβατό με προ-εγκατεστημένες λύσεις ασφαλείας. 
• Για να ελαχιστοποιήσετε την πιθανότητα ενεργοποίησης cryptomining από τη συσκευή σας, χρησιμοποιήστε μια ειδική λύση ασφαλείας, όπως το Kaspersky Endpoint Security for Business το οποίο μπορεί να ελέγξει και εφαρμογές και ιστοσελίδες. Τα δεδομένα αυτά, βοηθούν στον γρήγορο εντοπισμό κακόβουλης δραστηριότητας, ενώ η διαχείριση ευπαθειών και επιδιορθώσεων προστατεύει από cryptominers που εκμεταλλεύονται ευπάθειες.