Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Троян Drinik для Android нацелен на пользователей 18 банков Индии

31/10/22

LSpic_1652029902491_1652029910190

Аналитики Cyble заявили , что новая версия Android трояна Drinik нацелена на 18 индийских банков и маскируется под официальное налоговое приложение страны, чтобы похищать личную информацию жертв и банковские учетные данные.

По словам экспертов, передает Securitylab, Drinik атакует Индию с 2016 года, но с сентября 2021 года он стал работать как банковский троян для Android со следующими возможностями:

  • запись экрана;
  • ведение журнала действий;
  • использование служб специальных возможностей;
  • выполнение оверлей-атак (Overlay attack).

Последняя версия Drinik представлена ​​в виде APK-файла приложения iAssist, который предположительно является официальным инструментом управления налогами в Индии. После установки он запрашивает разрешение доступа к SMS, журналу вызовов пользователя и внешнему хранилищу.

Также Drinik просит разрешение использовать Accessibility Service (служба специальных возможностей Android). После получения доступа вредоносное ПО отключает защиту Google Play Protect и использует её для выполнения жестов навигации, записи экрана и захвата нажатий клавиш.

В результате Drinik через WebView загружает настоящий индийский сайт для управления налогами и крадет учетные данные пользователя, записывая экран и используя кейлоггер.

На этом этапе отображается поддельное диалоговое окно, в котором пользователю предлагается возмещение налогов в размере 57 100 рупий ($700) из-за предыдущих налоговых просчетов.

Когда пользователь соглашается и нажимает кнопку «Принять», он перенаправляется на фишинговую страницу, которая является клоном реального сайта Департамента подоходного налога, где ему необходимо ввести платежные данные.

content-img(664)

Чтобы нацеливаться на 18 банков Индии, Drinik постоянно отслеживает службу специальных возможностей на предмет событий и ключевых слов, связанных с целевыми банковскими приложениями.

Если есть совпадения, вредоносное ПО собирает данные кейлоггера, содержащие учетные данные пользователя, и эксфильтрует их на сервер управления и контроля (C&C). Во время атаки Drinik использует сервис «CallScreeningService», чтобы запретить входящие вызовы, которые могут прервать вход в систему.

Одним из целевых банков является Государственный банк Индии (SBI), один из крупнейших банков в мире, обслуживающий 450 млн. человек через обширную сеть из 22 тыс. отделений.

Преследование индийских налогоплательщиков и банковских клиентов означает, что Drinik имеет огромный пул целевых объектов, поэтому каждая новая успешная функция потенциально приводит к существенной финансовой выгоде для операторов вредоносного ПО.

Темы:БанкиПреступлениятрояныИндия
Статьи по темеСтатьи по теме

  • Рвение сотрудников часто вредит безопасности
    Вячеслав Касимов, Директор департамента информационной безопасности ПАО «Московский кредитный банк»
    Если организация защищена на техническом уровне, то злоумышленникам остается искать выходы на работников

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...