Kaspersky-experts hebben een recente campagne van Zanubis geanalyseerd, een banking Trojan die bedreven is in het aannemen van het uiterlijk van legitieme toepassingen. Het onderzoek werpt ook licht op de recente AsymCrypt cryptor/loader en de ontwikkelende Lumma stealer. Het onderstreept de toenemende noodzaak aan verbeterde digitale beveiliging.
De Android banking trojan Zanubis dook in augustus 2022 op en richtte zich op financiële en crypto-gebruikers in Peru. Zanubis doet zich voor als legitieme Peruaanse Android-apps en verleidt gebruikers om toegangsrechten te geven, waardoor ze controle verliezen. In April 2023 evolueerde Zanubis en deed het zich voor als de officiële app voor de Peruaanse overheidsorganisatie SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Zanubis is verborgen met behulp van Obfuscapk, een populaire verduisteraar voor Android APK-bestanden. Zodra het toestemming krijgt voor toegang tot het apparaat, misleidt het een slachtoffer door een echte SUNAT-website te laden met behulp van WebView, zodat het legitiem lijkt.
Om te communiceren met de controlerende server gebruikt het WebSockets en een bibliotheek genaamd Socket.IO. Hierdoor kan het zich aanpassen en verbonden blijven, zelfs als er problemen zijn. In tegenstelling tot andere malware heeft Zanubis geen vaste lijst met apps als doelwit. In plaats daarvan kan het op afstand worden geprogrammeerd om gegevens te stelen wanneer specifieke apps worden gebruikt. Deze malware creëert zelfs een tweede verbinding, waardoor de criminelen volledige controle over je apparaat kunnen krijgen. En het ergste is dat het je apparaat kan uitschakelen door te doen alsof het een Android-update is.
Recent ontdekte AsymCrypt cryptor/loader en Lumma stealer
Een andere recente ontdekking van Kaspersky is de AsymCrypt cryptor/loader, die gericht is op cryptowallets en wordt verkocht op ondergrondse fora. Uit het onderzoek bleek dat het een geëvolueerde DoubleFinger loader -versie is, die fungeert als een "façade" voor een TOR-netwerkservice. Kopers passen injectiemethoden, doelprocessen, opstartpersistentie en stubtypen voor kwaadaardige DLL's aan en verbergen de payload in een versleutelde blob binnen een .png-afbeelding die is geüpload naar een image hosting site. Uitvoering ontsleutelt de afbeelding en activeert de payload in het geheugen.
Kaspersky's opsporing van cyberdreigingen heeft ook geleid tot de ontdekking van de Lumma stealer, een evoluerende malwarelijn. Lumma, oorspronkelijk bekend als Arkei, heeft 46% van zijn oude eigenschappen behouden. Vermomd als een .docx naar .pdf converter, activeert het de schadelijke payload wanneer geüploade bestanden terugkomen met een dubbele extensie .pdf.exe. In de loop der tijd is de hoofdfunctionaliteit van alle varianten hetzelfde gebleven: het stelen van cachebestanden, configuratiebestanden en logbestanden van cryptowallets. Dit gebeurt door op te treden als een browser plugin, maar het ondersteunt ook de standalone Binance applicatie. Lumma's evolutie omvat het verkrijgen van lijsten met systeemprocessen, het wijzigen van communicatie-URL's en het verbeteren van versleutelingstechnieken.
"Cybercriminelen zijn meedogenloos in hun jacht op financiële winst, wagen zich in de wereld van cryptocurrencies en doen zich zelfs voor als overheidsinstellingen. Het steeds veranderende landschap van malware, zoals de veelzijdige Lumma stealer en de ambitions van Zanubis als een volwaardige banking Trojan, onder streept de dynamische aard van deze bedreigingen. ven.Intelligence reports spelen een cruciale rol bij het op de hoogte blijven van de nieuwste kwaadaardige tools en aanvalstechnieken, waardoor we een stap voor kunnen blijven in de voortdurende strijd voor digitale veiligheid," zegt Tatyana Shishkova, een hoofdonderzoeker bij GReAT.
Ga voor het volledige rapport naar Securelist.com
