31/10/22
Аналитики Cyble заявили , что новая версия Android трояна Drinik нацелена на 18 индийских банков и маскируется под официальное налоговое приложение страны, чтобы похищать личную информацию жертв и банковские учетные данные.
По словам экспертов, передает Securitylab, Drinik атакует Индию с 2016 года, но с сентября 2021 года он стал работать как банковский троян для Android со следующими возможностями:
- запись экрана;
- ведение журнала действий;
- использование служб специальных возможностей;
- выполнение оверлей-атак (Overlay attack).
Последняя версия Drinik представлена в виде APK-файла приложения iAssist, который предположительно является официальным инструментом управления налогами в Индии. После установки он запрашивает разрешение доступа к SMS, журналу вызовов пользователя и внешнему хранилищу.
Также Drinik просит разрешение использовать Accessibility Service (служба специальных возможностей Android). После получения доступа вредоносное ПО отключает защиту Google Play Protect и использует её для выполнения жестов навигации, записи экрана и захвата нажатий клавиш.
В результате Drinik через WebView загружает настоящий индийский сайт для управления налогами и крадет учетные данные пользователя, записывая экран и используя кейлоггер.
На этом этапе отображается поддельное диалоговое окно, в котором пользователю предлагается возмещение налогов в размере 57 100 рупий ($700) из-за предыдущих налоговых просчетов.
Когда пользователь соглашается и нажимает кнопку «Принять», он перенаправляется на фишинговую страницу, которая является клоном реального сайта Департамента подоходного налога, где ему необходимо ввести платежные данные.
.png?width=534&height=390&name=content-img(664).png)
Чтобы нацеливаться на 18 банков Индии, Drinik постоянно отслеживает службу специальных возможностей на предмет событий и ключевых слов, связанных с целевыми банковскими приложениями.
Если есть совпадения, вредоносное ПО собирает данные кейлоггера, содержащие учетные данные пользователя, и эксфильтрует их на сервер управления и контроля (C&C). Во время атаки Drinik использует сервис «CallScreeningService», чтобы запретить входящие вызовы, которые могут прервать вход в систему.
Одним из целевых банков является Государственный банк Индии (SBI), один из крупнейших банков в мире, обслуживающий 450 млн. человек через обширную сеть из 22 тыс. отделений.
Преследование индийских налогоплательщиков и банковских клиентов означает, что Drinik имеет огромный пул целевых объектов, поэтому каждая новая успешная функция потенциально приводит к существенной финансовой выгоде для операторов вредоносного ПО.
