BrazKing Android-malware
BrazKing is een malware voor mobiel bankieren die overlay-aanvallen uitvoert om de bankgegevens van zijn slachtoffers te verzamelen. De dreiging is gericht op Android-apparaten en gebruikers in Braziliëoverwegend, wat mogelijk suggereert dat de exploitanten ook in de regio zijn gevestigd. De onderzoekers van IBM Trusteer wierpen een licht op de dreiging door een rapport vrij te geven met hun bevindingen na analyse van verschillende BrazKing-monsters. Tot nu toe zijn de experts ervan overtuigd dat BrazKing nog steeds wordt ontwikkeldactief vanwege de aanzienlijke verschillen die zijn geïntroduceerd in de meer recente versies van de dreiging.
Inhoudsopgave
De toegankelijkheidsservice van Android misbruiken
De toegankelijkheidsfunctie is bedoeld om het gebruik van het mobiele apparaat comfortabeler te maken voor mensen met een handicap. Echter,cybercriminelen hebben het aangescherpt en misbruiken de service om talloze snode acties uit te voeren op de geïnfecteerde apparaten. BrazKing vertrouwt op de toegankelijkheidsserviceuitgebreid, omdat hierdoor de dreiging het aantal specifieke machtigingen dat door de gebruiker moet worden verleend, kan beperken. Als gevolg hiervan vraagt BrazKing om een klein aantal minder verdachte machtigingen.
Op de achtergrond kan BrazKing tikken op het scherm simuleren, keylogging-routines instellen, fungeren als een RAT (Remote Access Trojan), sms-berichten onderscheppen en lezen door de tekst van de berichten vast te leggen terwijl deze op het scherm wordt weergegeven, en toegang krijgen tot de contactlijsten van de gebruiker door ze in stilte te lezen vanaf het scherm 'Contacten'. De dreiging stelt ook een persistentiemechanisme in op basis van de functies van de toegankelijkheidsservice. Als gebruikers proberen het geïnfecteerde apparaat terug te zetten naar de fabrieksinstellingen, simuleert BrazKing onmiddellijk een tik op de knoppen 'Terug' en 'Home'. Dezelfde techniek wordt ook gebruikt om te voorkomen dat gebruikers anti-malwareoplossingen starten of een scan van het apparaat proberen uit te voeren.
Infectie vector
Slachtoffers worden misleid om de dreiging te installeren via phishing-berichten met de URL van een hoax-website. De misleidende website gebruikt angstaanjagende tactieken, zoals beweren dat het apparaat van de gebruiker verouderde beveiliging heeft en zal worden geblokkeerd. Om dit niet-bestaande probleem op te lossen, worden gebruikers gevraagd om op de meegeleverde knop te klikken die zogenaamd het besturingssysteem van het apparaat gaat 'updaten'. In werkelijkheid zal het de BrazKing Android-malware leveren. Gebruikers moeten de download nog steeds goedkeuren omdat de applicatie afkomstig is van een onbekende bron. Daarna zal de dreiging proberen de kleine machtigingen te verkrijgen die het nodig heeft om ze te maskeren als Google-vereisten.
Overlay-aanvallen
Eerdere BrazKing-versies haalden het valse inlogscherm voor de gerichte bankapplicaties op van een hardgecodeerde URL. Meer recente versies zijn van deze techniek afgestapt om meer gestroomlijnd, wendbaar en ongrijpbaar te worden. De dreiging doet nu een geautomatiseerde oproep naar zijn Command-and-Control (C2, C&C)-server en vraagt on-the-fly om het benodigde overlay-scherm. De cybercriminelen bepalen nu wanneer een geschikte app door het slachtoffer wordt gelanceerd en wanneer het proces voor het verzamelen van gegevens moet worden geactiveerd in plaats van het over te laten aan een geautomatiseerde functie binnen de dreiging zelf.
Een ander kenmerk van de BrazKing-aanvallen is dat ze geen door de gebruiker goedgekeurde 'android.permission.SYSTEM_ALERT_WINDOW'-toestemming nodig hebben. In plaats daarvan laadt de malware de URL van het overlayscherm naar een webweergave en geeft deze in een venster weer.
Malware voor mobiel bankieren blijft zich ontwikkelen en gebruikers moeten de nodige maatregelen nemen om hun apparaten te beschermen en zichzelf niet bloot te stellen aan onnodige risico's.
