Android Bankacılık Truva "Grandoreiro", 60'tan fazla ülkede büyük ölçekli bir kimlik avı kampanyasına yayılıyor ve kabaca 1.500 bankanın müşteri hesaplarını hedefliyor.
Ocak 2024'te, Brezilya, İspanya, Interpol, ESET ve Caixa Bank'ı içeren uluslararası bir kolluk operasyonu, 2017'den beri İspanyolca konuşan ülkeleri hedefleyen ve 120 milyon dolar kayıplara neden olan kötü amaçlı yazılım operasyonunun bozulduğunu duyurdu.
Aynı zamanda Brezilya'da beş tutuklama ve on üç arama ve nöbet eylemi meydana geldi. Ancak, tutuklanan bireylerin operasyondaki rolleri hakkında bilgi verilmemiştir.
IBM'nin X-Force ekibi, Grandoreiro'nun Mart 2024'ten bu yana büyük ölçekli operasyonlara geri döndüğünü, muhtemelen bir hizmet olarak kötü amaçlı yazılım (MAAS) modeli aracılığıyla siber suçlulara kiralandığını ve şimdi İngilizce konuşan ülkeleri de hedeflediğini bildirdi.
Buna ek olarak, Trojan'ın kendisi, yaratıcılarının tutuklamadan kaçtığını ve önceki baskılardan caydırılmadığını gösteren birçok yeni güçlü özellik ve iyileştirme ekleyen teknik bir yenileme geçirdi.
Birden fazla tehdit aktör kötü amaçlı yazılım kiraladığından, kimlik avı yemleri belirli bir siber suçlu hedeflediği kuruluşlar için özel olarak çeşitli ve hazırlanmıştır.
IBM tarafından görülen kimlik avı e -postaları, özellikle vergi idaresi kuruluşları, gelir hizmetleri ve federal elektrik komisyonları olmak üzere Meksika, Arjantin ve Güney Afrika'daki devlet kuruluşlarını taklit eder.
E -postalar alıcının ana dilinde yazılır, resmi logoları ve formatları dahil eder ve faturaları, hesap beyanlarını veya vergi belgelerini görüntülemek için bağlantıları tıklama gibi bir eylem çağrısı içerir.
Alıcılar bu e -postaları tıkladıklarında, GrandoreIRo Loader olan şişkin (100 MB) yürütülebilir dosyayı içeren bir fermuarlı dosyanın indirilmesini tetikleyen bir PDF görüntüsüne yönlendirilirler.
IBM X-Force, Grandoreiro Bankacılık Truva atının en son varyantında birkaç yeni özellik ve önemli güncellemeler fark etti ve bu da onu daha kaçınılmaz ve etkili bir tehdit haline getirdi.
Bunlar aşağıda özetlenebilir:
Bir başka önemli yeni özellik, Grandoreiro'nun ayrıntılı kurban profili oluşturma ve cihazda yürütüp yürütülmeyeceğine karar verme yeteneğidir, bu da operatörlere hedefleme kapsamlarını daha iyi kontrol eder.
IBM analistleri, Trojan'ın en son versiyonunun Rusya, Çekya, Hollanda ve Polonya gibi belirli ülkelerde ve ayrıca hiçbir antivirüsün aktif olmadığı Windows 7 makinelerinde infazdan kaçındığını bildiriyor.
Yukarıdakiler, son kolluk eylemine rağmen, Grandoreiro'nun canlı ve tekme olduğunu ve maalesef her zamankinden daha güçlü göründüğünü açıkça gösteriyor.
Finlandiya, banka hesaplarını ihlal eden Android kötü amaçlı yazılım saldırılarını uyarıyor
Soumnibot kötü amaçlı yazılım, algılamadan kaçınmak için Android hatalarından yararlanır
Milyonlarca Docker Repoları Bulunan Kötü Yazılım, Kimlik Avukat Siteleri
Yeni Latrodectus kötü amaçlı yazılım saldırıları Microsoft, Cloudflare temalarını kullanıyor
Yeni Brokewell kötü amaçlı yazılım Android cihazları devralır, verileri çalar
Kaynak: Bleeping Computer