BrazKing Android -haittaohjelma
BrazKing on mobiilipankkihaittaohjelma, joka suorittaa peittohyökkäyksiä kerätäkseen uhriensa pankkitunnuksia. Uhka kohdistuu ANDroid-laitteisiin ja Brasiliassa oleviin käyttäjiinpääasiallisesti, mikä mahdollisesti viittaa siihen, että sen operaattorit sijaitsevat myös alueella. IBM Trusteerin tutkijat valottivat uhkaa julkaisemalla raportin havainnoistaan useiden BrazKing-näytteiden analysoinnin jälkeen. Toistaiseksi asiantuntijat ovat vakuuttuneita siitä, että BrazKingiä kehitetään edelleenaktiivisesti uhan uudemmissa versioissa esiin tuotujen merkittävien erojen vuoksi.
Sisällysluettelo
Androidin esteettömyyspalvelun väärinkäyttö
Esteettömyystoiminnon tarkoituksena on tehdä mobiililaitteen käytöstä mukavampaa vammaisille. Kuitenkin,kyberrikolliset ovat hioneet sitä ja käyttävät palvelua suorittaakseen lukuisia ilkeitä toimia tartunnan saaneilla laitteilla. BrazKing luottaa esteettömyyspalveluunlaajasti, koska tämä sallii uhan rajoittaa tiettyjen käyttöoikeuksien määrää, jotka käyttäjä tarvitsee sille. Tämän seurauksena BrazKing pyytää pientä määrää vähemmän epäilyttäviä käyttöoikeuksia.
Taustalla BrazKing voi simuloida näytön napautuksia, luoda näppäinlokirutiineja, toimia RAT:na (Remote Access Trojan), siepata ja lukea tekstiviestejä kaappaamalla viestien tekstiä, kun se näytetään näytöllä, ja päästä käyttäjän yhteystietoluetteloihin lukemalla ne "Yhteystiedot"-näytöltä äänettömästi. Uhka muodostaa myös esteettömyyspalvelun toimintoihin perustuvan pysyvyysmekanismin. Jos käyttäjät yrittävät palauttaa tartunnan saaneen laitteen tehdasasetuksiin, BrazKing simuloi välittömästi "Takaisin"- ja "Koti"-painikkeiden napautuksen. Samaa tekniikkaa käytetään myös estämään käyttäjiä käynnistämästä haittaohjelmien torjuntaratkaisuja tai yrittämästä suorittaa laitteen tarkistusta.
Infektiovektori
Uhrit huijataan asentamaan uhka tietojenkalasteluviesteillä, jotka sisältävät huijaussivuston URL-osoitteen. Petollinen verkkosivusto käyttää pelotustaktiikkaa, kuten väittää, että käyttäjän laitteessa on vanhentunut tietoturva ja se aiotaan estää. Tämän olemattoman ongelman korjaamiseksi käyttäjät ohjataan napsauttamaan toimitettua painiketta, jonka oletetaan "päivittävän" laitteen käyttöjärjestelmän. Todellisuudessa se toimittaa BrazKing Android -haittaohjelman. Käyttäjien on silti hyväksyttävä lataus, koska sovellus tulee tuntemattomasta lähteestä. Myöhemmin uhka yrittää saada tarvitsemansa pienet luvat peittäen ne Googlen vaatimuksiksi.
Päällekkäishyökkäykset
Aiemmat BrazKing-versiot hakivat kohdistettujen pankkisovellusten väärennetyn kirjautumisnäytön kovakoodatusta URL-osoitteesta. Uudemmat versiot ovat siirtyneet pois tästä tekniikasta ja niistä on tullut virtaviivaisempia, ketterämpiä ja vaikeaselkoisempia. Itse asiassa uhka soittaa nyt automaattisen puhelun Command-and-Control (C2, C&C) -palvelimelleen ja pyytää tarvittavaa peittokuvaa lennossa. Kyberrikolliset päättävät nyt, milloin uhri käynnistää sopivan sovelluksen ja milloin aktivoida tunnistetietojen kaappausprosessi, sen sijaan että jättäisivät sen itse uhan automaattiseen toimintoon.
Toinen BrazKing-hyökkäysten ominaisuus on, että ne eivät vaadi käyttäjän hyväksymää android.permission.SYSTEM_ALERT_WINDOW-käyttöoikeutta. Sen sijaan haittaohjelma lataa peittonäytön URL-osoitteen verkkonäkymään ja näyttää sen ikkunassa.
Mobiilipankkihaittaohjelmat kehittyvät edelleen, ja käyttäjien tulee ryhtyä tarvittaviin toimenpiteisiin suojatakseen laitteitaan ja ollakseen altistamatta itseään tarpeettomille riskeille.
