IBM: groźny trojan kradnie kryptowaluty

Działanie TrickBota przypomina ataki na tradycyjne konta bankowe. Złośliwym oprogramowaniem można zarazić się na przykład instalując aplikację nieznanego pochodzenia, często z linku otrzymanego SMS-em. Trojany takie jak wspomniany TrickBot, a także ExoBot, BankBot, Marcher czy Mazar wyświetlają na urządzeniach mobilnych plansze przypominające ekrany logowania aplikacji przechowujących kryptowaluty. To stara metoda wykorzystywana wcześniej do okradania kont bankowych, także polskich klientów, o której informowaliśmy w CHIP-ie wielokrotnie.
IBM: groźny trojan kradnie kryptowaluty

TrickBot podmienia strony internetowe giełd kryptowalut (graf. IBM)

Kiedy zarazimy się TrickBotem, ten wstrzykuje kod do przeglądarki internetowej wyłudzając hasła. Jego głównym zadaniem jest wykradanie, a następnie dostarczanie zdobytych w nielegalny sposób kryptowalut do portfeli napastników. W ten sposób okradani są użytkownicy również urządzeń mobilnych. To spora zmiana. Dotychczas cyberprzestępcy wykorzystywali jedynie moc obliczeniową urządzenia ofiary w celu obliczania kryptowalut (głównie monero). Jednak ze względu na niewielką moc obliczeniową większości urządzeń mobilnych, takie działania nie przynosiły dużego zysku.

IBM X-Force
Przykładowy zrzut ekranu złośliwej aplikacji podszywającej się pod ekran logowania apki giełdy wymiany kryptowalut (fot. IBM X-Force).

Według IBM X-Force agresorzy najchętniej biorą na cel aplikacje przeznaczone do kryptowalut: bitcoin, bitcoin cash, ethereum, litecoin czy monero, ale nie gardzą również mniej znanymi formami krypto-pieniądza. Specjaliście z IBM od 2017 roku odnotowują ataki z użyciem wirusów wykradających kryptowaluty. Dopiero jednak w tym nastąpił znaczny ich wzrost, jak i rosnącą różnorodność. Ponieważ trojany wykradające krytpowaluty działają jak “klasyczne” trojany bankowe, posiadacze szczególnie sprzętu mobilnego powinni zainwestować w mobilne oprogramowanie ochronne i uważać na aplikacje niewiadomego pochodzenia. | CHIP.