Mamont: trojan bankowy Androida podszywa się pod Chrome

Wiele osób korzysta obecnie z bankowości internetowej. A ponieważ urządzenia mobilne są jednym z najpopularniejszych i najwygodniejszych sposobów robienia zakupów i płatności, przestępcy naturalnie kierują się w ich stronę. Niedawny przykład złośliwego oprogramowania wymierzonego w bankowość internetową pokazuje, jak łatwo można paść jego ofiarą.

Chociaż bankowość mobilna oferuje wygodę i elastyczność, niesie ze sobą również poważne zagrożenia dla bezpieczeństwa. Złośliwe aplikacje często podszywają się pod te popularne, aby zachęcić użytkowników do zainstalowania ich na swoich urządzeniach mobilnych. Po zainstalowaniu takie złośliwe aplikacje mogą wykradać poufne informacje, takie jak dane bankowe, co może prowadzić do strat finansowych. 

Czerpanie korzyści z zaufania innych

Niedawno natknęliśmy się na trojana, który podszywa się pod Google Chrome. Aby nakłonić użytkowników do pobrania i zainstalowania go, złośliwe oprogramowanie wykorzystuje popularność i zaufanie związane z Chrome. Takie złośliwe oprogramowanie jest często rozpowszechniane za pośrednictwem phishingu i wiadomości spamowych.

Kosztowne zezwolenia

Złośliwa aplikacja uruchamia się natychmiast po zainstalowaniu. Prosi ona użytkownika o pozwolenie na wykonywanie połączeń, zarządzanie nimi, jak również o pozwolenie na wysyłanie i odbieranie wiadomości SMS. Po uzyskaniu wymaganych uprawnień złośliwe oprogramowanie fałszywie informuje użytkownika, że został wybrany jako zwycięzca nagrody pieniężnej i prosi go o podanie numeru telefonu i karty. Następnie aplikacja prosi użytkownika, aby nie usuwał aplikacji przez następne 24 godziny w celu otrzymania rzekomej nagrody pieniężnej.

Grupa docelowa

Po zainfekowaniu urządzenia, język zostaje zmieniony na rosyjski, a trojan wydaje się być skierowany do rosyjskojęzycznej publiczności. Złośliwe oprogramowanie nazywa się „Mamont”. Jest to rosyjskie słowo, oznaczające mamuta włochatego. „Mamont” to potoczne określenie ofiary cyberprzestępstwa. Złośliwe oprogramowanie niepostrzeżenie rozpoczyna analizę wiadomości SMS na telefonie ofiary i wyszukuje zarówno „interesujących” nadawców, jak i z góry określone słowa kluczowe w tekście wiadomości. Jego celem jest identyfikacja wiadomości, które są istotne dla wielu dostawców usług finansowych, takich jak PayPal, WebMoney i tym podobnych.

Grafika przedstawiająca fragmenty kodu

Kod programu odczytujący skrzynkę odbiorczą wiadomości SMS.

Grafika przedstawiająca fragmenty kodu

Lista nadawców, na których należy zwrócić uwagę; w szczególności Rosbank, Sberbank (obie instytucje finansowe w Rosji), a także Yandex (rosyjska wyszukiwarka, media społecznościowe i platforma e-mail) oraz usługi płatnicze, takie jak PayPal. Określono tu również pewne słowa kluczowe, które należy sprawdzić, takie jak „saldo”, „rub” (skrót walutowy dla rosyjskiego „rubla”) lub „Otkritie” – inny rosyjski bank, a także „Raiffeisen”.

Przesyłanie do Telegramu

Wybrane wiadomości są następnie przekazywane do komunikatora Telegram. Złośliwe oprogramowanie może również przechwytywać nowo otrzymane wiadomości SMS i wysyłać je na ten sam kanał:

Grafika przedstawiająca fragmenty kodu

Stawką jest bezpieczeństwo

Wspomniane możliwości pozwalają atakującemu na uzyskanie numeru telefonu i numeru karty ofiary oraz na przechwytywanie wiadomości SMS zawierających kody uwierzytelniające, wymagane do autoryzacji transakcji z instytucjami finansowymi.

Oprócz ryzyka finansowego złośliwe oprogramowanie stanowi również poważne zagrożenie dla prywatności. W wyniku przeczesywania wiadomości SMS i przesyłania ich dalej do atakującego,  mogą zostać ujawnione osobiste i potencjalnie wrażliwe informacje. Może to obejmować prywatne rozmowy, dane osobowe, a nawet poufne informacje zawodowe. Dlatego ważne jest, aby być świadomym możliwości tego złośliwego oprogramowania, nie tylko w celu ochrony przed stratami finansowymi, ale także w celu ochrony prywatności.

Zagrożenia złośliwym oprogramowaniem, takie jak trojan „Mamont”, nie są odosobnionymi przypadkami. Cyberprzestępcy stale opracowują nowe i bardziej wyrafinowane metody wykorzystywania luk w zabezpieczeniach, kradzieży informacji i oszukiwania ofiar. Ważne jest, aby zachować czujność, aktualizować oprogramowanie i urządzenia oraz przestrzegać zalecanych praktyk bezpieczeństwa, aby chronić się przed takimi zagrożeniami.

Jak chronić się przed trojanami bankowości mobilnej?

Robert Dziemianko - Marketing Manager

Zawsze powinniśmy pamiętać o podstawach ochrony online, dbając o naszą prywatność oraz bezpieczeństwo finansowe przed złośliwym oprogramowaniem. Powinniśmy działać ostrożnie, aby zapobiec atakom na nasze dane i urządzenia.

Robert Dziemianko
PR & Marketing Manager G DATA Software.

Ważne jest, aby podjąć środki w celu ochrony przed Mamont Spy Banker i podobnymi zagrożeniami. Chociaż złośliwe oprogramowanie w tym przypadku jest skierowane głównie do rosyjskojęzycznych użytkowników, podobne złośliwe oprogramowanie zostało zaobserwowane w innych regionach i krajach. Oto kilka środków zapobiegawczych, które można podjąć:


1.    Pobieraj aplikacje z zaufanych źródeł: Pobieraj aplikacje tylko z oficjalnych sklepów z aplikacjami, takich jak Sklep Google Play dla użytkowników Androida. Jednak nawet wtedy dokładnie sprawdź wydawcę, oceny i uprawnienia aplikacji przed jej pobraniem.
2.    Sprawdzaj uprawnienia aplikacji: Zawsze sprawdzaj i weryfikuj uprawnienia, o które prosi aplikacja. Bądź podejrzliwy wobec aplikacji, które żądają uprawnień, które nie są niezbędne do ich działania.
3.    Regularnie aktualizuj swoje urządzenie i wszystkie aplikacje: Aktualizacje często zawierają poprawki bezpieczeństwa, które mogą chronić przed znanym złośliwym oprogramowaniem.
4.    Uważaj na podejrzane linki i wiadomości: Unikaj klikania w linki lub pobierania załączników z nieznanych źródeł. Są one często wykorzystywane w atakach phishingowych do rozprzestrzeniania złośliwego oprogramowania.
5.    Wiedza to potęga: Zdobywaj wiedzę na temat najnowszych zagrożeń i sposobów ich rozpoznawania. Im więcej wiesz, tym lepiej możesz się chronić.
6.    Sideloading: Unikaj aplikacji z nieznanych źródeł.

Pamiętaj, że żadna metoda nie jest niezawodna, ale powyższe kroki mogą znacznie zmniejszyć ryzyko padnięcia ofiarą Mamont Spy Banker.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...