Drinik Android Banking Trojan

L'Indian Computer Emergency Response Team (CERT-In) sta avvertendo i residenti indiani di una campagna di attacco attiva che distribuisce una minaccia malware Android denominata Drinik. L'obiettivo dell'attore della minaccia è ottenere informazioni personali sensibili dai dispositivi Android compromessi attirando le vittime con promesse di rimborsi delle tasse sul reddito.

Drinik non è una nuova minaccia, poiché è stata utilizzata nel lontano 2016. A quel tempo, la funzionalità della minaccia era per lo più limitata a quella di un semplice ladro di SMS. Tuttavia, secondo CERT-In, le versioni attuali mostrano alti livelli di sviluppo e miglioramento. Gli aggressori ora utilizzano Drinik come un Trojan bancario volto a raccogliere dati bancari e finanziari insieme ad altri dettagli personali sulle vittime.

La catena dell'attacco

L'attuale operazione di attacco inizia con l'autore della minaccia che invia collegamenti tramite messaggi SMS a utenti ignari. Quando si fa clic, il collegamento conduce a un sito Web di phishing progettato per imitare la pagina ufficiale del Dipartimento delle imposte sul reddito indianoda vicino. Il sito fasullo richiede informazioni personali sull'utente prima di scaricare un'applicazione danneggiata sul dispositivo. L'applicazione contiene il malware Drinik.

L'applicazione agisce in modo simile alla versione legittima del prodotto software rilasciata dall'Income Tax Department per aiutare gli utenti a generare i loro rimborsi fiscali. La falsa applicazione richiede varie autorizzazioni, come l'accesso ai messaggi SMS, ai registri delle chiamate e ai contatti.

Funzionalità minacciosa di Drinik

Dopo aver ricevuto le autorizzazioni richieste, l'applicazione falsa visualizzerà un modulo di richiesta di rimborso. In esso, agli utenti viene chiesto di fornire numerosi dettagli personali: nomi completi, PAN, numeri Aadhaar, indirizzo, data di nascita, ecc. L'applicazione non si ferma qui. Richiede inoltre ulteriori dettagli sensibili che potrebbero includere numeri di conto, numero CIF, codice IFSC, numeri di carta di debito, CVV, dati di scadenza e PIN. L'applicazione minacciosa pretende che tutte le informazioni siano necessarie per generare rimborsi fiscali accurati che verranno successivamente trasferiti direttamente all'account dell'utente.

Tuttavia, quando le vittime toccano il pulsante "Trasferisci", vengono mostrati un messaggio di errore e una schermata di aggiornamento falsa mentre il malware Drinik condivide le loro informazioni con gli aggressori in background. I criminali informatici utilizzano quindi le informazioni personali della vittima per generare una schermata di mobile banking specifica che richiede le credenziali di mobile banking dell'utente. Gli attori della minaccia possono quindi sfruttare i dati raccolti in vari modi, inclusa la frode finanziaria.