Drinik Android Banking Trojan

Het Indian Computer Emergency Response Team (CERT-In) waarschuwt Indiase inwoners voor een actieve aanvalscampagne die gebruikmaakt van een Android-malwarebedreiging genaamd Drinik. Het doel van de dreigingsactor is om gevoelige persoonlijke informatie van de gecompromitteerde Android-apparaten te verkrijgen door slachtoffers te lokken met beloften van teruggave van inkomstenbelasting.

Drinik is geen nieuwe dreiging, aangezien deze al in 2016 werd gebruikt. Destijds was de functionaliteit van de dreiging meestal beperkt tot die van een simpele sms-stealer. Volgens CERT-In laten de huidige versies echter een hoog niveau van ontwikkeling en verbetering zien. De aanvallers zetten Drinik nu in als een banktrojan die is gericht op het verzamelen van bank- en financiële gegevens naast andere persoonlijke gegevens over de slachtoffers.

De aanvalsketen

De huidige aanvalsoperatie begint met het verzenden van links via sms-berichten door de dreigingsactor naar nietsvermoedende gebruikers. Wanneer erop wordt geklikt, leidt de link naar een phishing-website die is ontworpen om de officiële pagina van de Indiase Income Tax Department na te bootsennauw. De nepsite vraagt om persoonlijke informatie over de gebruiker voordat een beschadigde applicatie naar het apparaat wordt gedownload. De applicatie bevat de Drinik-malware.

De applicatie werkt op dezelfde manier als de legitieme versie van het softwareproduct dat is vrijgegeven door de afdeling Inkomstenbelasting om gebruikers te helpen bij het genereren van hun belastingteruggave. De nep-applicatie vraagt om verschillende machtigingen, zoals toegang krijgen tot de sms-berichten, oproeplogboeken en contacten.

Drinik's dreigende functionaliteit

Na het ontvangen van de vereiste toestemmingen, zal de nep-applicatie een aanvraagformulier voor terugbetaling weergeven. Daarin worden gebruikers gevraagd om tal van persoonlijke gegevens te verstrekken - volledige namen, PAN, Aadhaar-nummers, adres, geboortedatum, enz. De toepassing stopt daar niet. Het vraagt ook naar aanvullende gevoelige gegevens, zoals rekeningnummers, het CIF-nummer, de IFSC-code, debetkaartnummers, CVV, vervalgegevens en pincode. De dreigende applicatie doet alsof alle informatie nodig is om nauwkeurige belastingteruggaven te genereren die vervolgens rechtstreeks naar de gebruikersaccount worden overgemaakt.

Wanneer slachtoffers echter op de knop 'Overdragen' tikken, krijgen ze een foutmelding en een nep-updatescherm te zien terwijl de Drinik-malware hun informatie op de achtergrond deelt met de aanvallers. De cybercriminelen gebruiken vervolgens de persoonlijke informatie van het slachtoffer om een specifiek scherm voor mobiel bankieren te genereren waarin wordt gevraagd naar de inloggegevens van de gebruiker voor mobiel bankieren. De dreigingsactoren kunnen de verzamelde gegevens vervolgens op verschillende manieren exploiteren, waaronder financiële fraude.