Μια ισπανόφωνη ομάδα απειλών, με την ονομασία GXC Team, προσφέρει μια νέα πλατφόρμα που συνδυάζει phishing kits με κακόβουλες εφαρμογές Android.
Η εταιρεία κυβερνοασφάλειας Group-IB, η οποία παρακολουθεί την ομάδα από τον Ιανουάριο του 2023, περιέγραψε τη νέα κακόβουλη πλατφόρμα ως “προηγμένη AI-powered phishing-as-a-service πλατφόρμα“. Η υπηρεσία είναι ικανή να στοχεύει χρήστες ισπανικών τραπεζών, κυβερνητικούς φορείς και ιδρύματα σε όλο τον κόσμο.
Τα phishing kits κοστίζουν μεταξύ 150 και 900 $ το μήνα, ενώ το πακέτο που περιλαμβάνει το phishing kit και κακόβουλες εφαρμογές Android είναι διαθέσιμο για περίπου 500 $ το μήνα.
Δείτε επίσης: CrowdStrike: Phishing επιθέσεις στοχεύουν Γερμανούς πελάτες
Οι ερευνητές παρατήρησαν ότι οι επιθέσεις με τη νέα υπηρεσία έχουν στοχεύσει χρήστες ισπανικών χρηματοπιστωτικών ιδρυμάτων, καθώς και φορολογικές και κυβερνητικές υπηρεσίες, εταιρείες που ασχολούνται με το ηλεκτρονικό εμπόριο, τράπεζες και cryptocurrency exchanges στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, τη Σλοβακία και τη Βραζιλία. Μέχρι σήμερα έχουν εντοπιστεί 288 phishing domains που συνδέονται με την κακόβουλη δραστηριότητα.
Πέρα από τα phishing kits και το Android malware, η ομάδα GXC Team προσφέρει και υπηρεσίες, όπως πώληση κλεμμένων τραπεζικών credentials.
“Σε αντίθεση με τους τυπικούς προγραμματιστές phishing, η ομάδα GXC συνδύασε phishing kits μαζί με ένα SMS OTP stealer malware“, ανέφεραν οι ερευνητές ασφαλείας Anton Ushakov και Martijn van den Berk.
Το ιδιαίτερο σε αυτές τις επιθέσεις είναι ότι οι κυβερνοεγκληματίες δεν χρησιμοποιούν απευθείας μια ψεύτικη σελίδα για να κλέψουν credentials. Αντ’ αυτού, προτρέπουν τα θύματα να κατεβάσουν μια τραπεζική εφαρμογή Android που υποτίθεται ότι προστατεύει από επιθέσεις phishing. Αυτές οι εφαρμογές διανέμονται κυρίως μέσω smishing και άλλων μεθόδων.
Δείτε επίσης: Κατάχρηση Google Cloud για phishing επιθέσεις
Μόλις εγκατασταθεί, η εφαρμογή ζητά άδεια για να οριστεί ως η προεπιλεγμένη εφαρμογή SMS, καθιστώντας έτσι δυνατή την υποκλοπή κωδικών πρόσβασης μιας χρήσης και άλλων σημαντικών μηνυμάτων. Οι κωδικοί στέλνονται σε ένα Telegram bot που ελέγχουν οι επιτιθέμενοι.
“Στο τελικό στάδιο, η εφαρμογή ανοίγει τον ιστότοπο μιας γνήσιας τράπεζας στο WebView, επιτρέποντας στους χρήστες να αλληλεπιδρούν κανονικά μαζί της“, είπαν οι ερευνητές. “Μετά από αυτό, κάθε φορά που ο εισβολέας ενεργοποιεί το OTP, το κακόβουλο λογισμικό Android λαμβάνει και προωθεί σιωπηλά μηνύματα SMS με κωδικούς OTP στη συνομιλία Telegram που ελέγχεται από τον παράγοντα απειλής
“.Άλλες υπηρεσίες που προσφέρει η ομάδα GXC Team είναι ΑΙ εργαλεία για φωνητικές κλήσεις, για να ενισχύσουν τις phishing επιθέσεις που έχουν προηγηθεί. Οι κλήσεις φαίνεται να προέρχονται από τράπεζες και δίνουν οδηγίες για παροχή κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA), εγκατάσταση κακόβουλων εφαρμογών ή εκτέλεση άλλων ενεργειών που βοηθούν τους επιτιθέμενους.
Δείτε επίσης: Η ODPA ζητά αυξημένη ασφάλεια μετά τις επιθέσεις phishing στο Guernsey
Προστασία από αυτές τις απειλές (phishing και κακόβουλες εφαρμογές)
- Για να προστατευτεί κάποιος από αυτές τις απειλές, είναι σημαντικό να κατεβάζει εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών, όπως το Google Play Store. Οι εφαρμογές από τρίτους μπορεί να περιέχουν κακόβουλο λογισμικό.
- Η χρήση ενός αξιόπιστου και ενημερωμένου λογισμικού ασφαλείας στο κινητό τηλέφωνο μπορεί να βοηθήσει στην ανίχνευση και απομάκρυνση κακόβουλων εφαρμογών πριν προκαλέσουν ζημιά.
- Πρέπει να αποφεύγεται το άνοιγμα συνδέσμων και επισυναπτόμενων αρχείων από άγνωστες ή ύποπτες πηγές, ειδικά σε μηνύματα ηλεκτρονικού ταχυδρομείου και μηνύματα κειμένου.
- Η ενεργοποίηση της δυνατότητας ελέγχου ταυτότητας δύο παραγόντων (2FA) για όλους τους λογαριασμούς μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφάλειας και να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση.
- Η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών του κινητού τηλεφώνου είναι κρίσιμη, καθώς οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που προστατεύουν από νέες απειλές.
- Η εκπαίδευση και η ευαισθητοποίηση σχετικά με τις τεχνικές phishing και τις τακτικές που χρησιμοποιούν οι κυβερνοεγκληματίες μπορεί να βοηθήσει τους χρήστες να αναγνωρίζουν και να αποφεύγουν ύποπτες δραστηριότητες.
- Η χρήση ενός VPN (Virtual Private Network) μπορεί να προστατεύσει τα δεδομένα κατά την περιήγηση στο διαδίκτυο, καθιστώντας πιο δύσκολο για τους επιτιθέμενους να υποκλέψουν ευαίσθητες πληροφορίες.
Πηγή: thehackernews.com