Sikkerhetsforskere i selskapet Bitdefender har oppdaget en ny type rootkit-basert skadevare som stjeler passord og betalingsinformasjon som er lagret i ofrenes nettleser.
Målet skal være å tjene penger ved å ta over infiserte enheter og gjøre dem om til såkalte «click farms» for å generere reklameklikk på Youtube og andre kanaler, melder TechCrunch.
Ekstremt sofistikert
— Dette er en ekstremt sofistikert trussel som har tatt mye tid og krefter å sette opp, sier direktør for trusselforskning og -rapportering hos Bitdefender, Bogdan Botezatu, til TechCrunch.
Forskerne tror skadevaren, som først ble identifisert i november i fjor, allerede har infisert tusenvis av enheter — minst.
Skadevaren, kalt Scranos, sprer seg ved hjelp av trojanere som utgir seg for å være virkelige apper, som videoavspillere og e-boklesere. Appene ser ut til å være signert med falske sertifikater og unngår dermed å bli blokkert, skriver den amerikanske nettavisen.
Trykker på annonser
Når appen er installert tar rootkiten over, og det lastes ned ytterlige skadelige komponenter, før det injiseres tilpassede kodebiblioteker inn i vanlige nettlesere, som brukes til å samle inn brukerdata fra blant annet Facebook og Youtube.
Youtube-komponenten i skadevaren åpner Chrome i feilsøkingsmodus og skjuler nettleservinduet, for å så åpne Youtube-videoer i bakgrunnen, abonnere på spesifikke kanaler og trykke på annonser.
En annen komponent gjør at skadevaren spammer Facebook-kontoer med venneforespørsler med phishing-meldinger.
Andre komponenter igjen lar skadevaren stjele data fra Steam-kontoer, injisere adware i Internet Explorer, kjøre svindlerske Chrome-utvidelser, og samle inn og laste opp brukeres nettleserhistorikk.
