BrazKing Android-malware
BrazKing er en skadelig programvare for mobilbanktjenester som utfører overleggsangrep for å samle bankopplysningene til ofrene sine. Trusselen retter seg mot ANdroid-enheter og brukere i Brasiloverveiende, noe som muligens antyder at operatørene også er lokalisert i regionen. Forskerne ved IBM Trusteer kastet lys over trusselen ved å gi ut en rapport med funnene deres etter analyse av flere BrazKing-prøver. Så langt er ekspertene sikre på at BrazKing fortsatt er under utviklingaktivt på grunn av de betydelige forskjellene som ble introdusert i de nyere versjonene av trusselen.
Innholdsfortegnelse
Misbruker Androids tilgjengelighetstjeneste
Tilgjengelighetsfunksjonen er ment å gjøre bruken av mobilenheten mer komfortabel for funksjonshemmede. Derimot,Nettkriminelle har gått inn på det og utnytter tjenesten til å utføre en rekke ondsinnede handlinger på de infiserte enhetene. BrazKing er avhengig av tilgjengelighetstjenestenmye, siden dette lar trusselen begrense antallet spesifikke tillatelser som brukeren trenger å gi den. Som et resultat ber BrazKing om et lite antall mindre mistenkelige tillatelser.
I bakgrunnen kan BrazKing simulere skjermtrykk, etablere keylogging-rutiner, fungere som en RAT (Remote Access Trojan), fange opp og lese SMS ved å fange opp teksten i meldingene mens den vises på skjermen, og få tilgang til brukerens kontaktlister ved å lese dem stille fra 'Kontakter'-skjermen. Trusselen etablerer også en utholdenhetsmekanisme basert på funksjonene til Tilgjengelighetstjenesten. Hvis brukere prøver å gjenopprette den infiserte enheten til fabrikkinnstillingene, vil BrazKing umiddelbart simulere et trykk på 'Tilbake' og 'Hjem'-knappene. Den samme teknikken brukes også for å forhindre at brukere lanserer anti-malware-løsninger eller prøver å kjøre en skanning av enheten.
Infeksjonsvektor
Ofre blir lurt til å installere trusselen via phishing-meldinger som inneholder URL-en til et hoax-nettsted. Det villedende nettstedet bruker skremmetaktikker som å hevde at brukerens enhet har utdatert sikkerhet og kommer til å bli blokkert. For å fikse dette ikke-eksisterende problemet, blir brukere henvist til å klikke på den medfølgende knappen som visstnok skal "oppdatere" enhetens operativsystem. I virkeligheten vil den levere BrazKing Android-malware. Brukere må fortsatt godkjenne nedlastingen siden applikasjonen kommer fra en ukjent kilde. Etterpå vil trusselen prøve å få de små tillatelsene den trenger, og maskere dem som Google-krav.
Overleggsangrep
Tidligere BrazKing-versjoner hentet den falske påloggingsskjermen for de målrettede bankapplikasjonene fra en hardkodet URL. Nyere versjoner har gått bort fra denne teknikken til å bli mer strømlinjeformet, smidig og unnvikende. Faktisk foretar trusselen nå et automatisk anrop til Command-and-Control-serveren (C2, C&C) og ber om den nødvendige overleggsskjermen med en gang. Nettkriminelle bestemmer nå når en passende app blir lansert av offeret og når de skal aktivere legitimasjonshentingsprosessen i stedet for å overlate den til en automatisert funksjon i selve trusselen.
Et annet kjennetegn ved BrazKing-angrepene er at de ikke krever den brukergodkjente 'android.permission.SYSTEM_ALERT_WINDOW'-tillatelsen. I stedet laster skadelig programvare overleggsskjermens URL til en webvisning og viser den i et vindu.
Skadevare for mobilbanker fortsetter å utvikle seg og brukere bør ta de nødvendige tiltakene for å beskytte enhetene sine og ikke utsette seg selv for unødvendige risikoer.
