Троян Drinik для Android нацелен на пользователей одного из крупнейших банков мира

Аналитики Cyble заявили , что новая версия Android трояна Drinik нацелена на 18 индийских банков и маскируется под официальное налоговое приложение страны, чтобы похищать личную информацию жертв и банковские учетные данные.

По словам экспертов, Drinik атакует Индию с 2016 года, но с сентября 2021 года он стал работать как банковский троян для Android со следующими возможностями:

  • запись экрана;
  • ведение журнала действий;
  • использование служб специальных возможностей;
  • выполнение оверлей-атак (Overlay attack).

Последняя версия Drinik представлена в виде APK-файла приложения iAssist, который предположительно является официальным инструментом управления налогами в Индии. После установки он запрашивает разрешение доступа к SMS, журналу вызовов пользователя и внешнему хранилищу.

Также Drinik просит разрешение использовать Accessibility Service (служба специальных возможностей Android). После получения доступа вредоносное ПО отключает защиту Google Play Protect и использует её для выполнения жестов навигации, записи экрана и захвата нажатий клавиш.

В результате Drinik через WebView загружает настоящий индийский сайт для управления налогами и крадет учетные данные пользователя, записывая экран и используя кейлоггер.

Чтобы нацеливаться на 18 банков Индии, Drinik постоянно отслеживает службу специальных возможностей на предмет событий и ключевых слов, связанных с целевыми банковскими приложениями.

Если есть совпадения, вредоносное ПО собирает данные кейлоггера, содержащие учетные данные пользователя, и эксфильтрует их на сервер управления и контроля (C&C). Во время атаки Drinik использует сервис «CallScreeningService», чтобы запретить входящие вызовы, которые могут прервать вход в систему.

Одним из целевых банков является Государственный банк Индии (SBI), один из крупнейших банков в мире, обслуживающий 450 млн. человек через обширную сеть из 22 тыс. отделений.

Преследование индийских налогоплательщиков и банковских клиентов означает, что Drinik имеет огромный пул целевых объектов, поэтому каждая новая успешная функция потенциально приводит к существенной финансовой выгоде для операторов вредоносного ПО.

Total
0
Shares
Предыдущий пост

Участились атаки с использованием VMware и Защитника Windows

Следующий пост

Суд Индии обязал Telegram раскрыть личные данные пользователей

Related Posts