BrazKing Android Malware
BrazKing je malware pro mobilní bankovnictví, který provádí překryvné útoky, aby shromáždil bankovní přihlašovací údaje svých obětí. Hrozba se zaměřuje na zařízení a uživatele Android v Brazíliipřevážně, což by mohlo naznačovat, že její provozovatelé sídlí také v regionu. Vědci z IBM Trusteer si posvítili na hrozbu tím, že po analýze několika vzorků BrazKing zveřejnili zprávu se svými zjištěními. Odborníci jsou zatím přesvědčeni, že BrazKing se stále vyvíjíaktivně kvůli významným rozdílům zavedeným v novějších verzích hrozby.
Obsah
Zneužívání služby usnadnění přístupu Android
Funkce Usnadnění je určena k tomu, aby bylo používání mobilního zařízení pohodlnější pro osoby se zdravotním postižením. Nicméně,kyberzločinci se na to zdokonalili a využívají tuto službu k provádění mnoha nekalých akcí na infikovaných zařízeních. BrazKing spoléhá na službu Accessibilityznačně, protože to hrozbě umožňuje omezit počet konkrétních oprávnění, která by musel uživatel udělit. Výsledkem je, že BrazKing žádá o malý počet méně podezřelých oprávnění.
Na pozadí může BrazKing simulovat klepnutí na obrazovku, zavést rutiny pro záznam kláves, fungovat jako RAT (Remote Access Trojan), zachytit a číst SMS tím, že zachytí text zpráv, když je zobrazen na obrazovce, a přistupovat k seznamům kontaktů uživatele pomocí číst je z obrazovky 'Kontakty' tiše. Hrozba také zavádí mechanismus persistence založený na funkcích služby přístupnosti. Pokud se uživatelé pokusí obnovit infikované zařízení do továrního nastavení, BrazKing okamžitě simuluje klepnutí na tlačítka „Zpět“ a „Domů“. Stejná technika se také používá k zabránění uživatelům spouštět antimalwarová řešení nebo se snažit spustit kontrolu zařízení.
Vektor infekce
Oběti jsou podvedeny k instalaci hrozby prostřednictvím phishingových zpráv obsahujících adresu URL podvodného webu. Klamavý web používá zastrašovací taktiky, jako je tvrzení, že zařízení uživatele má zastaralé zabezpečení a bude zablokováno. K vyřešení tohoto neexistujícího problému jsou uživatelé přesměrováni, aby klikli na poskytnuté tlačítko, které údajně „aktualizuje“ operační systém zařízení. Ve skutečnosti přinese malware BrazKing Android. Uživatelé budou stále muset stahování schválit, protože aplikace pochází z neznámého zdroje. Poté se hrozba pokusí získat ta malá oprávnění, která potřebuje, aby je maskovala podle požadavků společnosti Google.
Překryvné útoky
Dřívější verze BrazKingu získávaly falešnou přihlašovací obrazovku pro cílené bankovní aplikace z pevně zakódované adresy URL. Novější verze se od této techniky odklonily a staly se efektivnějšími, agilnějšími a nepolapitelnějšími. Hrozba nyní skutečně automaticky zavolá na svůj server Command-and-Control (C2, C&C) a za běhu požaduje potřebnou překryvnou obrazovku. Kyberzločinci nyní určují, kdy oběť spouští vhodnou aplikaci a kdy aktivovat proces získávání pověření, místo aby jej ponechali na automatické funkci v rámci samotné hrozby.
Další charakteristikou útoků BrazKing je, že nevyžadují uživatelem schválené oprávnění 'android.permission.SYSTEM_ALERT_WINDOW'. Místo toho malware načte adresu URL překryvné obrazovky do webového zobrazení a zobrazí ji v okně.
Malware pro mobilní bankovnictví se neustále vyvíjí a uživatelé by měli přijmout nezbytná opatření k ochraně svých zařízení a nevystavovat se zbytečným rizikům.
