Threat Database Banking Trojan MalRhino Android Banking Trojan

MalRhino Android Banking Trojan

Il MalRhino Android Banking Trojan è la seconda minaccia appartenente a una famiglia di malware non classificata scoperta da Check Point Research. Mentre gli attori delle minacce hanno adottato un approccio minimalista con le loro altre creazioni minacciose denominate PixStealer, MalRhino è più in linea con i tipici Trojan bancari per Android. Ciò non significa che la minaccia non sia dotata di diverse tecniche nuove o viste raramente. La connessione tra le due minacce è stata stabilita in base alle somiglianze nei loro manifesti, messaggi di registro, nomi di servizi e metodi, ecc.

Analisi MalRhino

La minaccia abusa anche del servizio di accessibilità Android per eseguire le sue azioni dannose. Lo scopo del servizio di accessibilità è rendere il controllo del dispositivo molto più semplice per le persone con disabilità. Gli hacker hanno notato le numerose funzioni disponibili attraverso di essorapidamente e hanno sfruttato il servizio nelle loro creazioni di malware. Ad esempio, possono monitorare le attività che si svolgono sullo schermo del dispositivo e intercettarle. Inoltre, gli aggressori possono simulare clic e tocchi come se li avesse fatti l'utente.

Tuttavia, il modo in cui MalRhino è in grado di elaborare dinamicamente gli eventi di accessibilità è piuttosto interessante. La minaccia utilizza JavaScript tramite il framework Rhino di Mozilla. Gli aggressori possono quindi eseguire la scansione dell'applicazione in esecuzione. Se corrisponde a una delle applicazioni mirate, gli hacker possono sfruttare il loro accesso remoto per eseguire codice specifico. L'ultima volta che i ricercatori di Check Point hanno osservato questa tecnica in una minaccia malware è stata nel 2016, come parte del malware bancario Xbot.

La catena di attacchi di MalRhino

La minaccia viene distribuita tramite versioni false dell'applicazione iToken dell'Inter Bank brasiliana. Il nome del pacchetto dell'applicazione trojanizzata è 'com.gnservice.beta e potrebbe indicare che la minaccia è ancora nelle prime fasi del suo sviluppo. Va notato che la falsa applicazione era disponibile per il download dal Google Play Store ufficiale.

Una volta all'interno del dispositivo della vittima, MalRhino visualizzerà un messaggio che richiede i permessi di accessibilità. Per ingannare l'utente, l'applicazione finge di aver bisogno dell'autorizzazione per funzionare correttamente. In caso di successo, il Trojan sarà in grado di eseguire applicazioni mirate (principalmente applicazioni bancarie, raccogliere dati sul dispositivo e l'elenco delle app installate e inviare le informazioni acquisite al suo server Command-and-Control (C&C, C2). la funzionalità minacciosa comporta il recupero del codice PIN dall'app Nubank.

La minaccia MalRhino mostra ulteriormente la necessità di cautela quando si concedono le autorizzazioni alle applicazioni sui propri dispositivi, anche se le applicazioni sono state installate tramite piattaforme di negozi ufficiali.

Tendenza

I più visti

Caricamento in corso...