DiebBot

ThiefBot ist ein Android-Banking-Trojaner, der hauptsächlich für Benutzer in der Türkei entwickelt wurde. Diese spezielle Malware-Bedrohung wird in unterirdischen Hackerforen beworben und verkauft.

Um nicht als zu verdächtig zu erscheinen, verkleidet sich ThiefBot als Google Play Store-Anwendung, die bei der Installation sofort nach allen Arten von Berechtigungen fragt. ThiefBot möchte, dass Benutzer das Lesen, Senden und Empfangen von SMS-Nachrichten sowie den Zugriff auf den Speicher, die Telefonkontakte und die Kamera des Geräts ermöglichen. ThiefBot möchte auch die Erlaubnis, den Eingabehilfedienst auf dem gefährdeten Gerät zu aktivieren. Wenn dies erfolgreich ist, listet ThiefBot das Gerät auf und lädt eine Zip-Datei mit dem Namen ' inj.zip ' von seinem Command-and-Control-Server (C2) herunter .

ThiefBot zielt auf mehrere türkische Anwendungen und Banken ab

Um Anmeldeinformationen zu sammeln, verwendet ThiefBot Overlay-Angriffe, die die Bankanmeldeinformationen und Kredit- / Debitkartendaten der Benutzer sammeln und diese dann über POST-Anforderungen an die C2-Infrastruktur senden. Eine der Anwendungen, auf die ThiefBot abzielt, betrifft den in der Türkei ansässigen Papara-Zahlungsdienst.

Darüber hinaus kann ThiefBot Befehle empfangen, um zahlreiche Bedrohungsaktionen auszuführen. Es kann die Anwendungsdaten des gefährdeten Geräts, die Kontaktliste und SMS-Nachrichten erfassen. ThiefBot kann auch als Bildschirmschließfach fungieren, indem eine bestimmte Meldung auf dem Bildschirm des Geräts angezeigt wird. ThiefBot kann sich selbst verbreiten, indem irreführende benutzerdefinierte Nachrichten an die Kontakte auf dem infizierten Gerät gesendet werden, um die ahnungslosen Benutzer davon zu überzeugen, die bedrohliche Anwendung herunterzuladen und zu installieren.

Um die Kampagne zu verwalten und Befehle für bestimmte Opfer zu erteilen, haben die Entwickler von ThiefBot ihre Malware-Bedrohung mit einem Admin-Panel ausgestattet.