חוקרי F5 Labs חושפים: נוזקה חדשה במכשירי אנדרואיד – MaliBot

הנוזקה מתחזה ליישומי כריית מטבעות קריפטוגרפיים ומתמקדת בגניבת מידע פיננסי ונתונים אישיים, תוך יכולת לשלוט מרחוק במכשירים נגועים

חוקרי F5 Labs חושפים נוזקה מזן חדש במכשירי אנדרואיד, אותה הם מכנים "MaliBot". בדוח חדש, שפורסם בימים האחרונים, מגלים החוקרים כי הנוזקה התגלתה תוך כדי מעקב אחר סוס טרויאני ביישומי סלולאר בנקאיים בשם FluBot . הנוזקה החדשה לרוב מתחזה ליישומי כריית מטבעות קריפטוגרפיים ומתמקדת בגניבת מידע פיננסי ונתונים אישיים, תוך יכולת לשלוט מרחוק במכשירים נגועים.

החוקרים מדגישים כי אמנם נוזקת Malibot מתמקדת בלקוחות בנקאיים המשתמשים ביישומים דיגיטליים בספרד ובאיטליה, אך משתמשי מכשירי אנדרואיד בכל העולם חייבים להיות ערניים בשל היכולת שלה לגנוב פרטי זיהוי ועוגיות ולעקוף קודים של אימות רב-גורמי (MFA).

המאפיינים המרכזיים של MaliBot:

• מתחזה ליישומים לכריית מטבעות קריפטוגרפיים בשם "Mining X" או "The CryptoApp", ומדי פעם ליישומים דוגמת "MySocialSecurity" ו"Chrome".
• מתמקדת בגניבת מידע פיננסי, פרטי זיהוי, ארנקי קריפטו ונתונים אישיים (PII).
• מסוגלת לגנוב ולעקוף קודים מרובי גורמים (2FA/MFA).
• VNC.

אור יעקב, דירקטור בכיר של גוף ההנדסה של F5  בדרום  EMEA אמר כי: "ככל שהשירותים הדיגיטליים הבנקאיים מתרבים ומתרחבים, כך גם עולים איומים נוספים ומתוחכמים יותר שמבקשים לנצל לקוחות תמימים. היא נבנתה בשלב זה על מנת לתקוף יישומים נפוצים בספרד ואיטליה, אך יש לצפות כי היא תעבור אדפטציה עם הזמן כדי לתקוף יישומים בנקאיים במדינות אירופאיות נוספות ובישראל. לכן, משתמשי אנדרואיד ישראליים חייבים לנקוט במשנה זהירות ולשים לב ליישומים לא לגיטימיים ה'מתחזים' ליישומים בנקאיים".

דור ניזר, חוקר אבטחת מידע ב-F5, ממגלי הנוזקה וכותב הדוח מדווח כי: "השליטה והבקרה (C2) שלMaliBot   ממוקמת ברוסיה ונראה כי היא משתמשת באותם שרתים ששימשו להפצת התוכנה הזדונית של Sality. הנוזקה היא עיבוד מחדש של נוזקת התחזות SOVA (בעברית "ינשוף"), שהתגלתה לראשונה ב-2021, עם פונקציונליות, שרתי C2, דומיינים, וטווח פגיעה רחב יותר. הנוזקה מציגה בפני הקורבן דף מזויף באמצעות WebView, כולל לינק המסופק על ידי שרת ה-C2".

החוקרים עוד מדווחים כי הרבגוניות של הנוזקה והשליטה שהיא מעניקה לתוקפים על המכשיר גורמים לכך שהוא יכול, באופן עקרוני, לשמש למגוון רחב יותר של התקפות מאשר גניבת אישורים ומטבעות קריפטוגרפיים. למעשה, כל יישום שעושה שימוש ב-WebView עלול לגרום לגניבת האישורים והעוגיות של המשתמשים.

דוח הגנת יישומים של F5 Labs  לשנת 2022 ציין כי בעוד שעליית הכופרות הייתה מגמת התוקפים הדרמטית ביותר בשנתיים האחרונות, בשנת 2021 חלה גם עלייה קלה יותר בהדבקות של נוזקות שחילצו נתונים מבלי לחתור להצפנה וכופר. נוזקה רבת יכולות זאת משמשת תזכורת לכך שמגמות ההתקפה של היום הן אף פעם לא האיום היחיד שיש לשים לב אליו.

אודות F5

F5 (NASDAQ: FFIV) מעניקה לעסקים, ספקי השירותים, הממשלות והמותגים הגדולים בעולם את החופש לספק בצורה מאובטחת כל יישום בכל מקום – בצורה מאובטחת. F5 מספקת שירותי יישומי ענן ואבטחת מידע המאפשרים לארגונים לאמץ את התשתית שהם בוחרים מבלי להקריב את המהירות והשליטה. למידע נוסף בקרו ב- f5.com ובפייסבוק של F5 Israel.