MalRhino Android Banking Trojan

MalRhino Android Banking Trojan er den anden trussel tilhørende en uklassificeret malware -familie, der blev opdaget af Check Point Research. Mens trusselsaktørerne indtog en minimalistisk tilgang med deres andre truende kreationer ved navn PixStealer, er MalRhino mere på linje med typiske Android -bank -trojanere. Det betyder ikke, at truslen ikke er udstyret med flere nye eller sjældent set teknikker. Forbindelsen mellem de to trusler blev foretaget baseret på ligheder i deres manifest, logbeskeder, service- og metodenavne osv.

MalRhino -analyse

Truslen misbruger også Android Accessibility Service til at udføre dens skadelige handlinger. Formålet med tilgængelighedstjenesten er at gøre styringen af enheden langt lettere for mennesker med handicap. Hackere lagde mærke til de mange funktioner, der var tilgængelige via dethurtigt og har udnyttet tjenesten i deres malware -kreationer. For eksempel kan de overvåge de aktiviteter, der finder sted på enhedens skærm, og opfange dem. Desuden kan angriberne simulere klik og tryk, som om brugeren har lavet dem.

Den måde MalRhino er i stand til at behandle tilgængelighedshændelser dynamisk på er imidlertid ganske interessant. Truslen bruger JavaScript via Mozillas Rhino -ramme. Angriberne kan derefter scanne det mest kørende program. Hvis det matcher en af de målrettede applikationer, kan hackerne udnytte deres fjernadgang til at udføre specifik kode. Sidste gang Check Point -forskere observerede denne teknik i en malware -trussel, var tilbage i 2016 som en del af Xbot -banker -malware.

MalRhinos angrebskæde

Truslen implementeres via falske versioner af den brasilianske Inter Banks iToken -applikation. Pakkenavnet på den trojaniserede applikation er 'com.gnservice.beta, og det kan indikere, at truslen stadig er i de tidlige stadier af dens udvikling. Det skal bemærkes, at den falske applikation var tilgængelig til download fra den officielle Google Play Butik.

Når den er inde i offerets enhed, viser MalRhino en meddelelse, der beder om tilgængelighedstilladelser. For at narre brugeren foregiver applikationen, at den har brug for tilladelse til at fungere korrekt. Hvis det lykkes, vil trojaneren kunne køre målrettede applikationer (for det meste bankapplikationer, indsamle enhedsdata og listen over installerede apps og sende de erhvervede oplysninger til sin Command-and-Control (C&C, C2) server. En mere specifik, truende funktionalitet indebærer at hente pinkoden fra Nubank -appen.

MalRhino -truslen viser yderligere behovet for forsigtighed, når der gives tilladelser til applikationerne på deres enheder, selvom applikationerne blev installeret via officielle butiksplatforme.