MalRhino Android Banking Trojan

De MalRhino Android Banking Trojan is de tweede bedreiging van een niet-geclassificeerde malwarefamilie die werd ontdekt door Check Point Research. Terwijl de bedreigingsactoren een minimalistische benadering hanteerden met hun andere bedreigende creaties genaamd PixStealer, is MalRhino meer in lijn met typische Android banking-trojans. Dat betekent niet dat de dreiging niet is uitgerust met verschillende nieuwe of zelden geziene technieken. De verbinding tussen de twee bedreigingen is gemaakt op basis van overeenkomsten in hun manifesten, logberichten, service- en methodenamen, enz.

MalRhino-analyse

De dreiging maakt ook misbruik van de Android Accessibility Service om zijn schadelijke acties uit te voeren. Het doel van de toegankelijkheidsservice is om het bedienen van het apparaat veel gemakkelijker te maken voor mensen met een handicap. Hackers merkten de talrijke functies op die erdoor beschikbaar zijnsnel en hebben de service misbruikt in hun malware-creaties. Ze kunnen bijvoorbeeld de activiteiten die plaatsvinden op het scherm van het apparaat volgen en onderscheppen. Bovendien kunnen de aanvallers klikken en tikken simuleren alsof de gebruiker ze heeft gemaakt.

De manier waarop MalRhino toegankelijkheidsgebeurtenissen dynamisch kan verwerken, is echter best interessant. De dreiging maakt gebruik van JavaScript via Mozilla's Rhino-framework. De aanvallers kunnen dan de best draaiende applicatie scannen. Als het overeenkomt met een van de beoogde toepassingen, kunnen de hackers hun externe toegang gebruiken om specifieke code uit te voeren. De laatste keer dat onderzoekers van Check Point deze techniek in een malwarebedreiging observeerden, was in 2016, als onderdeel van de Xbot banker-malware.

MalRhino's aanvalsketen

De dreiging wordt ingezet via valse versies van de iToken-applicatie van de Braziliaanse Inter Bank. De pakketnaam van de getrojaanse toepassing is 'com.gnservice.beta, en dit kan erop wijzen dat de dreiging zich nog in de beginfase van zijn ontwikkeling bevindt. Opgemerkt moet worden dat de nep-applicatie beschikbaar was om te downloaden van de officiële Google Play Store.

Eenmaal in het apparaat van het slachtoffer zal MalRhino een bericht weergeven waarin om toegankelijkheidsrechten wordt gevraagd. Om de gebruiker te misleiden, doet de applicatie alsof het toestemming nodig heeft om goed te kunnen functioneren. Als dit lukt, kan het Trojaanse paard gerichte applicaties uitvoeren (meestal bankapplicaties, apparaatgegevens en de lijst met geïnstalleerde apps verzamelen en de verkregen informatie naar zijn Command-and-Control (C&C, C2) server sturen. Een meer specifieke, bedreigende functionaliteit omvat het ophalen van de pincode uit de Nubank-app.

De MalRhino-dreiging toont verder aan dat voorzichtigheid geboden is bij het verlenen van toestemmingen aan de applicaties op hun apparaten, zelfs als de applicaties zijn geïnstalleerd via officiële winkelplatforms.