Threat Database Banking Trojan BrazKing Android Malware

BrazKing Android Malware

BrazKing è un malware di mobile banking che esegue attacchi di overlay per raccogliere le credenziali bancarie delle sue vittime. La minaccia prende di mira i dispositivi Android e gli utenti che si trovano in Brasileprevalentemente, forse suggerendo che anche i suoi operatori si trovano nella regione. I ricercatori di IBM Trusteer hanno fatto luce sulla minaccia pubblicando un rapporto con i loro risultati dopo l'analisi di diversi campioni di BrazKing. Finora, gli esperti sono fiduciosi che BrazKing sia ancora in fase di sviluppoattivamente a causa delle significative differenze introdotte nelle versioni più recenti della minaccia.

Abusare del servizio di accessibilità di Android

La funzione Accessibilità ha lo scopo di rendere più confortevole l'uso del dispositivo mobile per le persone con disabilità. Però,i criminali informatici lo hanno affinato e stanno sfruttando il servizio per eseguire numerose azioni nefaste sui dispositivi infetti. BrazKing si affida al servizio Accessibilitàampiamente, poiché ciò consente alla minaccia di limitare il numero di autorizzazioni specifiche che dovrebbe essere concesso dall'utente. Di conseguenza, BrazKing richiede un numero limitato di autorizzazioni meno sospette.

In background, BrazKing può simulare i tocchi dello schermo, stabilire routine di keylogging, agire come un RAT (Trojan di accesso remoto), intercettare e leggere SMS catturando il testo dei messaggi mentre è visualizzato sullo schermo e accedere agli elenchi di contatti dell'utente tramite leggendoli silenziosamente dalla schermata "Contatti". La minaccia stabilisce anche un meccanismo di persistenza basato sulle funzioni del servizio Accessibilità. Se gli utenti tentano di ripristinare le impostazioni di fabbrica del dispositivo infetto, BrazKing simulerà immediatamente un tocco sui pulsanti "Indietro" e "Home". La stessa tecnica viene utilizzata anche per impedire agli utenti di avviare soluzioni antimalware o di tentare di eseguire una scansione del dispositivo.

Vettore di infezione

Le vittime vengono indotte a installare la minaccia tramite messaggi di phishing che trasportano l'URL di un sito Web di bufala. Il sito Web ingannevole utilizza tattiche intimidatorie come affermare che il dispositivo dell'utente ha una sicurezza obsoleta e verrà bloccato. Per risolvere questo problema inesistente, gli utenti sono invitati a fare clic sul pulsante fornito che dovrebbe "aggiornare" il sistema operativo del dispositivo. In realtà, fornirà il malware Android BrazKing. Gli utenti dovranno comunque approvare il download poiché l'applicazione proviene da una fonte sconosciuta. Successivamente, la minaccia cercherà di ottenere le piccole autorizzazioni di cui ha bisogno mascherandole come requisiti di Google.

Attacchi sovrapposti

Le versioni precedenti di BrazKing recuperavano la schermata di accesso falsa per le applicazioni bancarie mirate da un URL codificato. Le versioni più recenti si sono allontanate da questa tecnica per diventare più snelle, agili e sfuggenti. In effetti, la minaccia ora effettua una chiamata automatica al suo server Command-and-Control (C2, C&C) e richiede al volo la schermata di sovrapposizione necessaria. I criminali informatici ora determinano quando un'app adatta viene lanciata dalla vittima e quando attivare il processo di acquisizione delle credenziali invece di lasciarlo a una funzione automatizzata all'interno della minaccia stessa.

Un'altra caratteristica degli attacchi BrazKing è che non richiedono l'autorizzazione "android.permission.SYSTEM_ALERT_WINDOW" approvata dall'utente. Invece, il malware carica l'URL della schermata overlay in una visualizzazione Web e lo visualizza in una finestra.

Il malware del mobile banking continua a evolversi e gli utenti dovrebbero adottare le misure necessarie per proteggere i propri dispositivi e non esporsi a rischi inutili.

Tendenza

I più visti

Caricamento in corso...