Аналитики Cyble заявили , что новая версия Android трояна Drinik нацелена на 18 индийских банков и маскируется под официальное налоговое приложение страны, чтобы похищать личную информацию жертв и банковские учетные данные.
По словам экспертов, Drinik атакует Индию с 2016 года, но с сентября 2021 года он стал работать как банковский троян для Android со следующими возможностями:
запись экрана;
ведение журнала действий;
использование служб специальных возможностей;
выполнение оверлей-атак (Overlay attack).
Последняя версия Drinik представлена в виде APK-файла приложения iAssist, который предположительно является официальным инструментом управления налогами в Индии. После установки он запрашивает разрешение доступа к SMS, журналу вызовов пользователя и внешнему хранилищу.
Также Drinik просит разрешение использовать Accessibility Service (служба специальных возможностей Android). После получения доступа вредоносное ПО отключает защиту Google Play Protect и использует её для выполнения жестов навигации, записи экрана и захвата нажатий клавиш.
В результате Drinik через WebView загружает настоящий индийский сайт для управления налогами и крадет учетные данные пользователя, записывая экран и используя кейлоггер.
Загрузка сайта и активация записи экрана
На этом этапе отображается поддельное диалоговое окно, в котором пользователю предлагается возмещение налогов в размере 57 100 рупий ($700) из-за предыдущих налоговых просчетов.
Когда пользователь соглашается и нажимает кнопку «Принять», он перенаправляется на фишинговую страницу, которая является клоном реального сайта Департамента подоходного налога, где ему необходимо ввести платежные данные.
Фишинговый сайт, имитирующий настоящий налоговый портал
Чтобы нацеливаться на 18 банков Индии, Drinik постоянно отслеживает службу специальных возможностей на предмет событий и ключевых слов, связанных с целевыми банковскими приложениями.
Если есть совпадения, вредоносное ПО собирает данные кейлоггера, содержащие учетные данные пользователя, и эксфильтрует их на сервер управления и контроля (C&C). Во время атаки Drinik использует сервис «CallScreeningService», чтобы запретить входящие вызовы, которые могут прервать вход в систему.
Одним из целевых банков является Государственный банк Индии (SBI), один из крупнейших банков в мире, обслуживающий 450 млн. человек через обширную сеть из 22 тыс. отделений.
Преследование индийских налогоплательщиков и банковских клиентов означает, что Drinik имеет огромный пул целевых объектов, поэтому каждая новая успешная функция потенциально приводит к существенной финансовой выгоде для операторов вредоносного ПО.
Источник: SecurityLab