MTD oraz SOAR kontra mobilny trojan bankowy Hook

Brak solidnych zabezpieczeń urządzeń mobilnych znacznie rozszerza powierzchnię ataku – z tym stwierdzeniem trudno się nie zgodzić. Warto jednak doprecyzować, że zagrożenie jest jeszcze większe w przypadku smartfonów firmowych – szczególnie dlatego, że często są one także wykorzystywane do celów niezawodowych, co zaciera granicę między danymi korporacyjnymi a prywatnymi.

Informacje przechowywane na smartfonach mogą mieć charakter poufny – np. dane lokalizacyjne czy książka adresowa. Smartfony firmowe mogą stać się punktem wejścia, dającym dostęp do poufnych danych korporacyjnych i często trafiają na celownik cybergangów skoncentrowanych na szpiegostwie lub szybkim zarabianiu pieniędzy z okupów. Zainstalowanie rozwiązania cyberbezpieczeństwa w całej firmowej flocie mobilnej jest zatem koniecznością. Przykładem takiego produktu jest TEHTRIS MTD, który wykrywa i neutralizuje wszelkie rodzaje cyberataków mobilnych, a także w czasie rzeczywistym identyfikuje podejrzaną aktywność. W tym artykule przyjrzymy się, jak TEHTRIS MTD reaguje na stosunkowo nowe zagrożenie – trojana bankowego Hook wyposażonego w możliwości zdalnej administracji.

Informacje o trojanie Hook

Za powstaniem złośliwego programu Hook stoi cybergang Duke Eugene, który wcześniej wydał bankowego trojana dla Androida o nazwie Ermac. Hook ujrzał światło dzienne w styczniu 2023 r. i stanowi rozwinięcie Ermaca. Dodano do niego m.in. funkcje zdalnej administracji, które pozwalają atakującym przejąć kontrolę nad smartfonem ofiary i wykonywać takie działania jak: wykonywanie zrzutów ekranu, wymuszanie scrollowania, odblokowywanie urządzenia i wiele innych. Jako trojan bankowy, Hook potrafi także kraść dane uwierzytelniania powiązane z bankowością online oraz portfelami kryptowalutowymi.

Inne funkcje szkodnika obejmują uzyskiwanie dostępu do listy plików i geolokalizacji smartfona, a także logowanie się do komunikatora WhatsApp i wysyłanie przy jego użyciu wiadomości – w ten sposób atakujący rozsyłają trojana do kontaktów ofiary. Hook jest wykorzystywany do atakowania firm na całym świecie.

Jak rozwiązanie TEHTRIS XDR Platform chroni przed trojanem Hook

Jak TEHTRIS MTD chroni firmowe urządzenia mobilne

TEHTRIS MTD monitoruje i analizuje wszystkie aplikacje pobierane na urządzenia mobilne. System MAST (Mobile Automated Security System) automatycznie przeprowadza statyczną i dynamiczną analizę kodu aplikacji zainstalowanych na urządzeniach wchodzących w skład firmowej floty mobilnej, a nawet mobilnego oprogramowania rozwijanego wewnętrznie. W przypadku trojana Hook MTD wykrywa szkodliwy plik APK, a stosowny alert pojawia się w zunifikowanej konsoli TEHTRIS XDR Platform:

TEHTRIS XDR Platform daje możliwość zdalnego usunięcia złośliwej aplikacji, by zapobiec dalszemu rozprzestrzenianiu się zagrożenia.

TEHTRIS MTD pozwala także na wyszukiwanie określonych plików APK w obrębie całej floty mobilnej, dzięki czemu można upewnić się, że w firmowej infrastrukturze nie pozostały ślady po szkodliwej aktywności.

Dobrą praktyką jest aktywowanie w ustawieniach MTD zapory sieciowej – pozwala to na monitorowanie i blokowanie niechcianego ruchu sieciowego do i z urządzeń. Funkcję tę można np. wykorzystać do blokowania komunikacji złośliwych programów z serwerami kontrolowanymi przez cyberprzestępców.

Natychmiastowe podejmowanie działań dzięki zastosowaniu scenariusza SOAR

Ze względu na poziom zagrożenia wynikający z rozbudowanych możliwości trojanów mobilnych takich jak Hook, dobrym pomysłem jest użycie konsoli XDR Platform do skonfigurowania scenariusza SOAR (Security Orchestration, Automation and Response). Dzięki temu firmowy dział IT będzie w czasie rzeczywistym ostrzegany o wszelkich nieprawidłowościach.

Poniżej przedstawiliśmy przykładowy scenariusz obejmujący trzy rodzaje alertów oraz automatyczną neutralizację zagrożenia. Scenariusz składa się z trzech działań:

  • automatyczne wysłanie wiadomości e-mail do analityka cyberbezpieczeństwa, 
  • prewencyjne powiadomienie użytkownika atakowanego urządzenia,
  • bezpośrednie, automatyczne usunięcie zagrożenia z zainfekowanego urządzenia.

Przykład powiadomienia wyświetlanego na atakowanym smartfonie:Dzięki tej funkcji można znacznie zmniejszyć czas reakcji na cyberzagrożenie. Może to być szczególnie użyteczne w przypadku firm z niedoborami kadrowymi uniemożliwiającymi obsługiwanie firmowej floty mobilnej np. w trakcie weekendów i innych dni wolnych od pracy.

Podsumowanie

Instalacja rozwiązania TEHTRIS MTD trwa zaledwie kilka sekund. Tyle czasu wystarczy, by zapewnić możliwość wykrywania i neutralizowania w czasie rzeczywistym wszelkich cyberataków oraz niebezpiecznego zachowania w obrębie całej firmowej floty mobilnej. Informacje szczegółowe dotyczące rozwiązań firmy TEHTRIS są dostępne na stronie https://dlp-expert.pl/tehtris.

TEHTRIS został uznany za reprezentatywnego producenta rozwiązań cyberbezpieczeństwa urządzeń mobilnych w ramach zestawienia 2023 Market Guide for Mobile Threat Defense.

Źródło: tehtris.com/en/blog/xdr-use-case-mtd-soar-vs-hook-rat