تم اكتشاف سلالة جديدة من البرامج الضارة التي تعمل بنظام Android في البرية تستهدف عملاء البنوك عبر الإنترنت ومحفظة العملات الرقمية في إسبانيا وإيطاليا.
المعلومات التي تسرق طروادة ، التي تحمل الاسم الرمزي MaliBot بواسطة F5 Labs ، غنية بالميزات مثل نظيراتها، مما يسمح لها بسرقة بيانات الاعتماد وملفات تعريف الارتباط، وتجاوز أكواد المصادقة متعددة العوامل (MFA)، وإساءة استخدام خدمة الوصول في Android لمراقبة شاشة جهاز الضحية.
من المعروف أن MaliBot تخفي نفسها بشكل أساسي على أنها تطبيقات تعدين العملات المشفرة مثل Mining X أو The CryptoApp التي يتم توزيعها عبر مواقع الويب الاحتيالية المصممة لجذب الزوار المحتملين لتنزيلها.
كما أنه يأخذ ورقة أخرى من كتاب ألعاب طروادة المصرفية عبر الهاتف المحمول من حيث أنه يستخدم الرسائل النصية القصيرة كناقل توزيع لتكاثر البرامج الضارة عن طريق الوصول إلى جهات اتصال الهاتف الذكي المصاب وإرسال رسائل SMS تحتوي على روابط إلى البرامج الضارة.
وقال دور نزار الباحث في F5 Labs : "نظام القيادة والسيطرة (C2) الخاص بشركة MaliBot موجود في روسيا ويبدو أنه يستخدم نفس الخوادم التي تم استخدامها لتوزيع برنامج Sality الضار " . "إنها إعادة عمل معدلة بشكل كبير لبرنامج SOVA الضار، بوظائف وأهداف وخوادم C2 ومجالات وأنظمة تعبئة مختلفة."
بعض البنوك المستهدفة من قبل MaliBot باستخدام هذا النهج تشمل UniCredit و Santander و CaixaBank و CartaBCC.
إلى جانب القدرة على سرقة كلمات المرور وملفات تعريف الارتباط لحساب Google الخاص بالضحية، تم تصميم البرنامج الضار لتمرير رموز 2FA من تطبيق Google Authenticator بالإضافة إلى سرقة المعلومات الحساسة مثل إجمالي الأرصدة والعبارات الأولية من تطبيقات Binance و Trust Wallet.
علاوة على ذلك، فإن Malibot قادرة على تسليح وصولها إلى واجهة برمجة تطبيقات إمكانية الوصول لهزيمة أساليب المصادقة الثنائية (2FA) من Google، مثل مطالبات Google، حتى في السيناريوهات التي تتم فيها محاولة تسجيل الدخول إلى الحسابات باستخدام بيانات الاعتماد المسروقة من جهاز غير معروف من قبل.
