Drinik Android банкиране троянски

До Mezo през Banking Trojan, Mobile Malwareг

Превод на:

Индийският екип за реагиране на компютърни аварийни ситуации (CERT-In) предупреждава индийските жители за активна кампания за атака, която разгръща заплаха за зловреден софтуер за Android, наречена Drinik. Целта на участника в заплахата е да получи чувствителна лична информация от компрометираните устройства с Android, като примамва жертвите с обещания за възстановяване на данък върху дохода.

Drinik не е нова заплаха, тъй като беше използвана чак през 2016 г. По това време функционалността на заплахата беше ограничена най -вече до тази на обикновен крадец на SMS. Според CERT-In обаче настоящите версии показват високи нива на развитие и усъвършенстване. Сега нападателите разгръщат Drinik като банков троянец, целящ събирането на банкови и финансови данни заедно с други лични данни за жертвите.

Веригата за атака

Текущата операция за атака започва с играча на заплахата, изпращащ връзки чрез SMS съобщения до нищо неподозиращи потребители. Когато се кликне, връзката води до фишинг уебсайт, създаден да имитира официалната страница на индийския отдел за данъци върху доходитеотблизо. Фалшивият сайт иска лична информация за потребителя, преди да изтегли повредено приложение на устройството. Приложението носи зловреден софтуер Drinik.

Приложението действа подобно на легитимната версия на софтуерния продукт, пуснат от отдела за данъци върху доходите, за да помогне на потребителите да генерират възстановяване на данъци. Фалшивото приложение иска различни разрешения, като например достъп до SMS съобщения, дневници на обаждания и контакти.

Заплашващата функционалност на Drinik

След получаване на необходимите разрешения, фалшивото приложение ще покаже формуляр за заявление за възстановяване на сумата. В него потребителите са помолени да предоставят множество лични данни - пълни имена, PAN, Aadhaar номера, адрес, дата на раждане и т.н. Приложението не спира дотук. Той също така пита за допълнителни чувствителни подробности, които могат да включват номера на сметки, CIF номер, IFSC код, номера на дебитни карти, CVV, данни за изтекъл срок и ПИН. Заплашващото приложение се преструва, че цялата информация е необходима, за да генерира точни възстановявания на данъци, които впоследствие ще бъдат прехвърлени директно в акаунта на потребителя.

Когато обаче жертвите докоснат бутона „Прехвърляне“, им се показва съобщение за грешка и екран с фалшива актуализация през цялото време, докато зловредният софтуер Drinik споделя информацията си с нападателите във фонов режим. След това киберпрестъпниците използват личната информация на жертвата, за да генерират специфичен екран за мобилно банкиране, който иска данните за мобилното банкиране на потребителя. След това участниците в заплахата могат да използват събраните данни по различни начини, включително финансови измами.