Threat Database Banking Trojan BrazKing зловреден софтуер за Android

BrazKing зловреден софтуер за Android

BrazKing е злонамерен софтуер за мобилно банкиране, който извършва атаки с наслагване, за да събере банковите идентификационни данни на своите жертви. Заплахата е насочена към устройства ANDroid и потребители, разположени в Бразилияпредимно, което вероятно предполага, че неговите оператори също са разположени в региона. Изследователите от IBM Trusteer хвърлиха светлина върху заплахата, като пуснаха доклад със своите констатации след анализ на няколко проби от BrazKing. Засега експертите са уверени, че BrazKing все още се разработваактивно поради значителните различия, въведени в по-новите версии на заплахата.

Злоупотреба с услугата за достъпност на Android

Функцията за достъпност има за цел да направи използването на мобилното устройство по-удобно за хора с увреждания. Въпреки това,киберпрестъпниците са го усъвършенствали и използват услугата, за да извършват множество злобни действия върху заразените устройства. BrazKing разчита на услугата за достъпностшироко, тъй като това позволява на заплахата да ограничи броя на специфичните разрешения, които ще трябва да бъдат предоставени от потребителя. В резултат на това BrazKing иска малък брой по-малко подозрителни разрешения.

На заден план, BrazKing може да симулира докосвания на екрана, да установява рутинни програми за клавиатурно влизане, да действа като RAT (троянски кон за отдалечен достъп), да прихваща и чете SMS, като улавя текста на съобщенията, докато се показва на екрана, и да осъществява достъп до списъците с контакти на потребителя чрез четейки ги безшумно от екрана „Контакти“. Заплахата също така установява механизъм за постоянство, базиран на функциите на услугата за достъпност. Ако потребителите се опитат да възстановят заразеното устройство до фабричните му настройки, BrazKing незабавно ще симулира докосване на бутоните „Назад“ и „Начало“. Същата техника се използва и за предотвратяване на потребителите да стартират решения за анти-зловреден софтуер или да се опитат да стартират сканиране на устройството.

Вектор на инфекция

Жертвите са подлъгани да инсталират заплахата чрез фишинг съобщения, носещи URL адреса на уебсайт за измама. Измамният уебсайт използва тактики за сплашване, като например твърдение, че устройството на потребителя има остаряла сигурност и ще бъде блокирано. За да коригират този несъществуващ проблем, потребителите са насочени да щракнат върху предоставения бутон, който уж ще „актуализира“ операционната система на устройството. В действителност той ще достави зловреден софтуер BrazKing Android. Потребителите все пак ще трябва да одобрят изтеглянето, тъй като приложението идва от неизвестен източник. След това заплахата ще се опита да получи малките разрешения, от които се нуждае, за да ги маскира като изисквания на Google.

Атаки с наслагване

По-ранните версии на BrazKing извличаха фалшивия екран за влизане за целевите банкови приложения от твърдо кодиран URL адрес. По-новите версии са се отдалечили от тази техника, за да станат по-рационализирани, пъргави и неуловими. Всъщност заплахата вече извършва автоматично извикване към своя сървър за командване и управление (C2, C&C) и в движение изисква необходимия екран за наслагване. Киберпрестъпниците вече определят кога се стартира подходящо приложение от жертвата и кога да активират процеса на грабване на идентификационни данни, вместо да го оставят на автоматизирана функция в самата заплаха.

Друга характеристика на атаките на BrazKing е, че те не изискват одобреното от потребителя разрешение 'android.permission.SYSTEM_ALERT_WINDOW'. Вместо това злонамереният софтуер зарежда URL адреса на екрана с наслагване в уеб изглед и го показва в прозорец.

Зловредният софтуер за мобилно банкиране продължава да се развива и потребителите трябва да предприемат необходимите мерки, за да защитят своите устройства и да не се излагат на ненужни рискове.

Тенденция

Най-гледан

Зареждане...