MalRhino Android банков троянец

MalRhino Android Banking Trojan е втората заплаха, принадлежаща към некласифицирано семейство зловреден софтуер, открито от Check Point Research. Докато актьорите на заплахите са използвали минималистичен подход с другите си заплашителни творения, наречени PixStealer, MalRhino е по -скоро в съответствие с типичните за Android банкови троянски коне. Това не означава, че заплахата не е оборудвана с няколко нови или рядко срещани техники. Връзката между двете заплахи е направена въз основа на прилики в техните манифести, регистрационни съобщения, имена на услуги и методи и т.н.

Анализ на MalRhino

Заплахата също злоупотребява с услугата за достъпност на Android, за да изпълнява своите вредни действия. Целта на услугата за достъпност е да направи контрола на устройството много по -лесен за хора с увреждания. Хакерите забелязаха многобройните функции, достъпни чрез негобързо и са използвали услугата при създаването на зловреден софтуер. Например, те могат да наблюдават дейностите, които се извършват на екрана на устройството, и да ги прихващат. Освен това нападателите могат да симулират кликвания и докосвания, сякаш потребителят ги е направил.

Начинът, по който MalRhino може да обработва динамично събитията за достъпност, е доста интересен. Заплахата използва JavaScript чрез рамката на Rhino на Mozilla. След това нападателите могат да сканират най -работещото приложение. Ако съвпада с някое от целевите приложения, хакерите могат да използват отдалечения си достъп, за да изпълнят конкретен код. Последният път, когато изследователите на Check Point са наблюдавали тази техника при заплаха от злонамерен софтуер, са били през 2016 г., като част от злонамерения софтуер на Xbot bankker.

Атакуващата верига на MalRhino

Заплахата се разгръща чрез фалшиви версии на приложението iToken на бразилската Inter Bank. Името на пакета на троянизираното приложение е 'com.gnservice.beta и може да показва, че заплахата е все още в ранните етапи на своето развитие. Трябва да се отбележи, че фалшивото приложение беше достъпно за изтегляне от официалния Google Play Store.

След като влезе в устройството на жертвата, MalRhino ще покаже съобщение с искане за разрешения за достъпност. За да измами потребителя, приложението се преструва, че се нуждае от разрешение, за да функционира правилно. Ако успее, троянецът ще може да изпълнява целеви приложения (предимно банкови приложения, да събира данни за устройства и списък с инсталирани приложения и да изпраща получената информация на своя сървър за управление и управление (C&C, C2). По-конкретно, заплашителната функционалност включва извличане на пин кода от приложението Nubank.

Заплахата MalRhino допълнително показва необходимостта от повишено внимание при предоставяне на разрешения на приложенията на техните устройства, дори ако приложенията са били инсталирани чрез официални платформи за магазини.