בדיוק זה מה שהיה חסר: נוזקה חדשה במכשירי אנדרואיד

נחשפה נוזקה מזן חדש במכשירי אנדרואיד. לפי חוקרי F5 Labs, הנוזקה – אותה הם כינו MaliBot – לרוב מתחזה ליישומי כריית מטבעות קריפטוגרפיים ומתמקדת בגניבת מידע פיננסי ונתונים אישיים, תוך יכולת לשלוט מרחוק במכשירים נגועים.

הנוזקה התגלתה תוך כדי מעקב אחר סוס טרויאני ביישומי סלולר בנקאיים, בשם FluBot. החוקרים מדגישים כי אמנם נוזקת Malibot מתמקדת בלקוחות בנקאיים המשתמשים ביישומים דיגיטליים בספרד ובאיטליה, אך משתמשי מכשירי אנדרואיד בכל העולם חייבים להיות ערניים, בשל היכולת שלה לגנוב פרטי זיהוי ועוגיות ולעקוף קודים של אימות רב-גורמי (MFA).

החוקרים ציינו את המאפיינים המרכזיים של הנוזקה: היא מתחזה ליישומים לכריית מטבעות קריפטוגרפיים בשם Mining X או The CryptoApp ומדי פעם ליישומים דוגמת MySocialSecurity – או Chrome; היא מתמקדת בגניבת מידע פיננסי, פרטי זיהוי, ארנקי קריפטו ונתונים אישיים; הנוזקה מסוגלת לגנוב ולעקוף קודים מרובי גורמים, 2FA/MFA; והיא בעלת יכולת לשלוט מרחוק במכשירים נגועים באמצעות מימוש שרת VNC.

אור יעקב, דירקטור בכיר של גוף ההנדסה של F5 בדרום EMEA. צילום: יח"צ

"לשים לב ליישומים לא לגיטימיים, המתחזים ליישומים בנקאיים"

לדברי אור יעקב, מנהל בכיר של גוף ההנדסה של F5 בדרום EMEA: "ככל שהשירותים הדיגיטליים הבנקאיים מתרבים ומתרחבים, כך גם עולים איומים נוספים ומתוחכמים יותר, שמבקשים לנצל לקוחות תמימים. הנוזקה נבנתה בשלב זה על מנת לתקוף יישומים נפוצים בספרד ואיטליה, אך יש לצפות כי בחלוף הזמן, היא תעבור אימוץ – כדי לתקוף יישומים בנקאיים במדינות אירופאיות נוספות ובישראל. לכן, משתמשי אנדרואיד ישראליים חייבים לנקוט במשנה זהירות ולשים לב ליישומים לא לגיטימיים, המתחזים ליישומים בנקאיים".

דור ניזר, חוקר אבטחת מידע בחברה ומי שהיה בין חושפי הנוזקה, כתב במחקר כי "השליטה והבקרה של הנוזקה ממוקמות ברוסיה, ונראה כי היא משתמשת באותם שרתים ששימשו להפצת הנוזקה Sality. הנוזקה היא עיבוד מחדש של נוזקת התחזות SOVA ("ינשוף"), שהתגלתה בראשונה ב-2021, עם פונקציונליות, שרתי שליטה ובקרה, דומיינים וטווח פגיעה רחב יותר. הנוזקה מציגה בפני הקורבן דף מזויף, כולל לינק".

לדברי החוקרים, "הרב-גוניות של הנוזקה והשליטה שהיא מעניקה לתוקפים על המכשיר גורמים לכך שהוא יכול לשמש למגוון רחב יותר של התקפות, מעבר לגניבת אישורים ומטבעות קריפטוגרפיים. כל יישום שעושה שימוש בדף הצפייה (WebView), עלול לגרום לגניבת האישורים והעוגיות של המשתמשים".

החוקרים ציינו כי "בשנת 2021 חלה עלייה בהדבקות של נוזקות שחילצו נתונים, בלא לחתור להצפנה וכופר. נוזקה רבת יכולות זאת, משמשת תזכורת לכך שמגמות ההתקפה של היום הן אף פעם לא האיום היחיד שיש לשים לב אליו".