A ThreatFabric holland mobilbiztonsági cég olasz banki felhasználók elérhetőségeinek megszerzésére irányuló adathalász kampányról adott hírt. A támadók telefonon veszik rá az áldozatokat a rosszindulatú programok telepítésére.
A cég szerint az elkövetők – az áldozatok telefonos elérhetőségeinek megszerzését követően – TOAD-alapú (Telephone-oriented attack delivery) social engineering technikával igyekeznek rávenni az androidos felhasználókat, hogy telepítsenek egy kiterjesztett jogosultságú „biztonsági” alkalmazást, ami valójában egy távoli hozzáférést biztosító rosszindulatú program. Jelen kampányban a támadók végső célja a BRATA családhoz tartozó Copybara nevű banki trójai program telepítése, amely 2021 novemberében jelent meg először, így a kampány már lassan egy éve tart.
A Copybara – hasonlóan más távoli hozzáférésű trójai programhoz (RAT) – a kisegítő szolgáltatásokat (Accessibility Services) kompromittálva, információkat gyűjt és eltávolítja a letöltő alkalmazást, hogy elrejtse jelenlétét a fertőzött eszközön. Ezen felül egy telepített kémprogram segítségével a támadók hozzáférhetnek az áldozat SMS üzeneteihez, köztük a bankok által SMS-ben küldött egyszeri bejelentkezési kódokhoz (OTP) is.
A ThreatFabric elmondása szerint ezek a hibrid támadási hullámok általában nagyobb erőforrást igényelnek támadói oldalról, azonban jelen kampányban sajnos ez kifizetődik.
Az ilyen és ehhez hasonló támadások elkerülése érdekében javasolt kétszer is ellenőrizni és meggyőződni arról, hogy biztos a szolgáltató keres-e bennünket, illetve érdemes figyelemmel követni a pénzügyi intézetek figyelmeztetéseit az aktuális kampányokról.
