Drinik Android Banking Trojan

Indian Computer Emergency Response Team (CERT-In) advarer indiske beboere om en aktiv angrebskampagne, der anvender en Android-trussel mod malware ved navn Drinik. Trusselsaktørens mål er at indhente følsomme personlige oplysninger fra de kompromitterede Android -enheder ved at lokke ofre med løfter om indkomstskatrefusion.

Drinik er ikke en ny trussel, da den blev brugt helt tilbage i 2016. På det tidspunkt var truslens funktionalitet for det meste begrænset til en simpel SMS -stjæler. Ifølge CERT-In viser de nuværende versioner imidlertid et højt udviklings- og forbedringsniveau. Angriberne implementerer nu Drinik som en bank -trojan, der sigter mod at indsamle bank- og finansielle data sammen med andre personlige oplysninger om ofrene.

Angrebskæden

Den aktuelle angrebsoperation begynder med, at trusselsaktøren sender links via SMS -beskeder til intetanende brugere. Når der klikkes på det, fører linket til et phishing -websted designet til at efterligne den officielle side for den indiske indkomstskatteafdelingtæt. Det falske websted beder om personlige oplysninger om brugeren, før du downloader et beskadiget program til enheden. Programmet indeholder Drinik -malware.

Ansøgningen fungerer på samme måde som den legitime version af softwareproduktet, der er frigivet af indkomstskatteafdelingen, for at hjælpe brugerne med at generere deres skatterestitutioner. Den falske applikation beder om forskellige tilladelser, såsom at få adgang til SMS -beskeder, opkaldslogfiler og kontakter.

Driniks truende funktionalitet

Efter at have modtaget de nødvendige tilladelser, viser den falske ansøgning en refusionsansøgningsformular. I den bliver brugerne bedt om at angive mange personlige oplysninger - fulde navne, PAN, Aadhaar -numre, adresse, fødselsdato osv. Applikationen stopper ikke der. Det forespørger også om yderligere følsomme oplysninger, der kan omfatte kontonumre, CIF -nummer, IFSC -kode, betalingskortnumre, CVV, udløbsdata og PIN -kode. Den truende applikation lader som om, at alle oplysninger er nødvendige for at den kan generere nøjagtige skatterestitutioner, der efterfølgende vil blive overført direkte til brugerens konto.

Når ofre trykker på knappen 'Overfør', vises de imidlertid en fejlmeddelelse og en falsk opdateringsskærm, alt imens Drinik -malware deler deres oplysninger med angriberne i baggrunden. Cyberkriminelle bruger derefter offerets personlige oplysninger til at generere en specifik mobilbankskærm, der beder om brugerens mobilbankoplysninger. Trusselsaktørerne kan derefter udnytte de indsamlede data på en række forskellige måder, herunder økonomisk svindel.