BrazKing Android Malware
BrazKing er en mobilbank-malware, der udfører overlejringsangreb for at indsamle bankoplysningerne for sine ofre. Truslen er rettet mod ANdroid-enheder og brugere i Brasilienovervejende, hvilket muligvis tyder på, at dets operatører også er placeret i regionen. Forskerne hos IBM Trusteer kastede lys over truslen ved at udgive en rapport med deres resultater efter analyse af flere BrazKing-prøver. Indtil videre er eksperterne overbeviste om, at BrazKing stadig er under udviklingaktivt på grund af de betydelige forskelle, der er indført i de nyere versioner af truslen.
Indholdsfortegnelse
Misbruger Androids tilgængelighedstjeneste
Tilgængelighedsfunktionen er beregnet til at gøre brugen af den mobile enhed mere behagelig for personer med handicap. Imidlertid,cyberkriminelle har skærpet ind på det og udnytter tjenesten til at udføre adskillige uhyggelige handlinger på de inficerede enheder. BrazKing er afhængig af tilgængelighedstjenesteni vid udstrækning, da dette tillader truslen at begrænse antallet af specifikke tilladelser, som brugeren skal give den. Som et resultat beder BrazKing om et lille antal mindre mistænkelige tilladelser.
I baggrunden kan BrazKing simulere skærmtryk, etablere keylogging rutiner, fungere som en RAT (Remote Access Trojan), opsnappe og læse SMS ved at fange teksten i beskederne, mens den vises på skærmen, og få adgang til brugerens kontaktlister vha. læse dem lydløst fra 'Kontakter'-skærmen. Truslen etablerer også en persistensmekanisme baseret på funktionerne i Tilgængelighedstjenesten. Hvis brugere forsøger at gendanne den inficerede enhed til dens fabriksindstillinger, vil BrazKing øjeblikkeligt simulere et tryk på 'Tilbage' og 'Hjem' knapperne. Den samme teknik bruges også til at forhindre brugere i at starte anti-malware-løsninger eller forsøge at køre en scanning af enheden.
Infektion vektor
Ofre bliver narret til at installere truslen via phishing-beskeder med URL'en til et fupwebsted. Det vildledende websted bruger skræmmetaktikker såsom at hævde, at brugerens enhed har forældet sikkerhed og vil blive blokeret. For at løse dette ikke-eksisterende problem bliver brugerne bedt om at klikke på den medfølgende knap, der angiveligt skal 'opdatere' enhedens operativsystem. I virkeligheden vil det levere BrazKing Android malware. Brugere skal stadig godkende download, da applikationen kommer fra en ukendt kilde. Bagefter vil truslen forsøge at få de små tilladelser, den har brug for, og maskere dem som Google-krav.
Overlejringsangreb
Tidligere BrazKing-versioner hentede den falske login-skærm for de målrettede bankapplikationer fra en hardkodet URL. Nyere versioner er skiftet væk fra denne teknik til at blive mere strømlinede, adrætte og uhåndgribelige. Faktisk foretager truslen nu et automatisk opkald til sin Command-and-Control-server (C2, C&C) og anmoder om den nødvendige overlejringsskærm i farten. De cyberkriminelle bestemmer nu, hvornår en passende app bliver lanceret af offeret, og hvornår de skal aktivere legitimationsindsamlingsprocessen i stedet for at overlade den til en automatiseret funktion i selve truslen.
Et andet kendetegn ved BrazKing-angrebene er, at de ikke kræver den brugergodkendte 'android.permission.SYSTEM_ALERT_WINDOW'-tilladelse. I stedet indlæser malwaren overlejringsskærmens URL til en webvisning og viser den i et vindue.
Malware til mobilbanker fortsætter med at udvikle sig, og brugere bør tage de nødvendige foranstaltninger for at beskytte deres enheder og ikke udsætte sig selv for unødvendige risici.
