Denaro rubato tramite malware Android Port 4000 remoto qualsiasi exploit

Naviga le tue risposte
1

Come sfondo, il mio conto bancario aziendale è stato compromesso. Il compromesso ha coinvolto anche l'inoltro di chiamata di uno smartphone. Quindi hanno le credenziali bancarie e le credenziali del cellulare.

Inizialmente sospettavo che i keylogger fossero su laptop compromessi, apparecchiature di rete compromesse a casa o in ufficio o ingegneria sociale. Ma alla fine mi sono reso conto che il mio telefono Android era un'altra possibile fonte di violazione.

La scorsa notte, utilizzando uno scanner di rete Android, ho scansionato la mia rete domestica e ho visto che il mio Droid Turbo aveva due servizi in esecuzione, uno per Port 4000 e credo che l'altro fosse Port 4500. Port 4000 era "Remote Anything slave" e un rapido Google mi fa sapere che questo dà a un hacker il controllo completo del mio dispositivo. Altri telefoni Android della famiglia non avevano questi servizi in esecuzione. Ho spento rapidamente il telefono e sto andando a comprare un nuovo telefono stamattina.

Il mio assunto a questo punto è che l'hack del telefono ha permesso loro di ottenere il passcode della mia compagnia telefonica che permetteva loro di inoltrare i codici di attivazione bancaria; la banca e la compagnia telefonica confermano che ciò è accaduto.

Credo che la mia domanda sia se è probabile che ogni computer e telefono sulle mie reti (aziendali e domestici) abbia malware? Dal telefono, il malware può andare sul router e poi mettere il malware su altri dispositivi. È probabile che ci sia malware sul router? Sto cercando di capire cosa deve essere sostituito. Devo aggiungere che non ricordo di essere andato sul sito web della banca sul mio cellulare, ma è possibile. Non ho l'app per la banca, ma potrei aver effettuato il login in treno per fare qualcosa.

Qualsiasi consiglio è apprezzato. Sorprendentemente, la banca, la compagnia di telefonia mobile e Google non sembrano così interessati a indagare, quindi credo di essere da solo.

    
posta user1883779 07.03.2016 - 17:01
fonte

2 risposte

1

Cose come queste accadono ogni giorno. Non è una sorpresa che nessuna delle aziende voglia indagare. È troppo piccolo di dimensioni e non nel loro migliore interesse per farlo. Ora come per le tue domande ...

  • Dispositivi di rete: i dispositivi di rete domestici / di consumo non sono considerati come sicuri o gli aggiornamenti del firmware rilasciati spesso. La cosa migliore da fare sarebbe controllare il sito Web del produttore del router / AP / switch per vedere se si sta eseguendo il firmware più recente. Un reset hardware / di fabbrica del dispositivo sarebbe prudente. Mentre è improbabile che il malware sul telefono sia stato in grado di infettare il tuo router in qualsiasi modo, non è impossibile. Inoltre, se il router di casa consente di implementare le policy, prendere in considerazione il blocco del traffico in uscita non necessario. Questo può impedire alle applicazioni malware di raggiungere l'host se non utilizzano una porta http / https predefinita.
  • Altri computer / telefoni: è necessario iniziare cambiando le password dell'amministratore su ciascun dispositivo e eseguendo scansioni AV complete. Se utilizzi qualsiasi servizio di condivisione di file basato su cloud (ad es. Google Drive, Dropbox, ecc.), Ti consigliamo di eseguire la scansione anche di quelli. Sicuramente prova a scegliere come target i servizi che hai utilizzato sul tuo telefono infetto. Eventuali account collegati al telefono dovrebbero avere le loro credenziali modificate, incluso il nome utente, se possibile. Se non lo stai già facendo, assicurati di avere un firewall software su ciascuna delle tue macchine.
  • Gmail: presumo che tu abbia un account Gmail e che molti dei tuoi servizi siano legati a questo account. Prendi in considerazione l'utilizzo del servizio Google Authenticator che Google fornisce. Richiede un PIN a 6 cifre ogni volta che provi a utilizzare il tuo account Google per QUALSIASI cosa non già approvata. Il tuo account di posta elettronica è generalmente l'apice di molti altri account. Imposta una password diversa da tutti gli altri account (che dovresti comunque fare sempre) e attua la massima sicurezza che il tuo provider ti consente.
  • Avanzamento ulteriore della sicurezza: per le carte di credito e i conti bancari, configura le notifiche email / di testo per notificarti quando vengono effettuati addebiti o quando vengono utilizzati nuovi dispositivi per accedere ai tuoi account. La maggior parte delle banche offre questo. Inoltre, fai molta attenzione alle applicazioni che installi sul tuo telefono. È possibile che l'infezione provenga da un'applicazione che è stata installata da te per iniziare.
risposta data 07.03.2016 - 17:21
fonte
1

RemoteAnyThing è in realtà un'app di gestione SMS progettata per consentire all'utente di scaricare il controllo tramite SMS su un computer (per leggere / inviare SMS senza utilizzare il telefono). Non è di per sé un virus, ma ovviamente è molto utile per un attaccante che insegue codici di utilizzo una tantum per le banche, inviati ai telefoni tramite SMS. Ciò consentirebbe anche a loro (a seconda se il provider lo fa tramite sms) impostare l'inoltro delle chiamate. Infine, tu (o un utente malintenzionato, sfortunatamente) puoi distribuirlo tramite Google Play Store, quindi l'attacco vero e proprio probabilmente è iniziato come compromesso del tuo account Google e li ha portati sul tuo telefono che, grazie all'utilizzo intelligente delle app, ha permesso loro di rubare un'autorizzazione a due fattori gettoni.

Secondo l'altra risposta, usare 2FA sul tuo account Google è davvero una buona idea, rafforza gli account che sostanzialmente incapsulano tutta la tua vita (specialmente se usi un telefono Android) ed è impossibile sottostimare la necessità prendere ogni precauzione quando si protegge l'accesso.

Modifica: per rispondere in modo più completo alla domanda finale: RemoteAnyThing sembra funzionare tramite una connessione diretta a un computer, quindi la disponibilità della porta. Quindi, il tuo desktop è stato compromesso per eseguire il software in segreto, o il tuo router è stato compromesso per portare la connessione dal software in esecuzione da qualche altra parte (sul computer degli hacker o su un intermediario zombie).

    
risposta data 07.03.2016 - 17:35
fonte

Leggi altre domande sui tag

Recupero delle informazioni di report malware dalla rete di malware Qual è la differenza tra avvio affidabile e protezione patch del kernel (PatchGuard)