BrazKing Android Malware
BrazKing to mobilne szkodliwe oprogramowanie bankowe, które przeprowadza ataki typu overlay w celu zebrania danych uwierzytelniających bankowych swoich ofiar. Zagrożenie atakuje urządzenia i użytkowników z systemem Android zlokalizowanych w Brazyliigłównie, co może sugerować, że jej operatorzy również znajdują się w regionie. Naukowcy z IBM Trusteer rzucili światło na zagrożenie, publikując raport ze swoimi odkryciami po analizie kilku próbek BrazKinga. Jak na razie eksperci są przekonani, że BrazKing wciąż jest rozwijanyaktywnie ze względu na znaczne różnice wprowadzone w nowszych wersjach zagrożenia.
Spis treści
Nadużywanie usługi ułatwień dostępu Androida
Funkcja ułatwień dostępu ma na celu zwiększenie komfortu korzystania z urządzenia mobilnego przez osoby niepełnosprawne. Jednakże,cyberprzestępcy dopracowali się tego i wykorzystują tę usługę do wykonywania wielu nikczemnych działań na zainfekowanych urządzeniach. BrazKing polega na usłudze dostępnościznacznie, ponieważ pozwala to zagrożeniu ograniczyć liczbę określonych uprawnień, które musiałby zostać przyznany przez użytkownika. W rezultacie BrazKing prosi o niewielką liczbę mniej podejrzanych uprawnień.
W tle BrazKing może symulować stukanie ekranu, ustanawiać procedury rejestrowania klawiszy, działać jako RAT (trojan zdalnego dostępu), przechwytywać i czytać SMS-y, przechwytując tekst wiadomości, gdy jest ona wyświetlana na ekranie, oraz uzyskiwać dostęp do list kontaktów użytkownika za pomocą czytanie ich po cichu z ekranu „Kontakty”. Zagrożenie ustanawia również mechanizm trwałości oparty na funkcjach usługi dostępności. Jeśli użytkownicy spróbują przywrócić zainfekowane urządzenie do ustawień fabrycznych, BrazKing natychmiast zasymuluje dotknięcie przycisków „Wstecz” i „Strona główna”. Ta sama technika jest również używana do uniemożliwienia użytkownikom uruchamiania rozwiązań antywirusowych lub prób skanowania urządzenia.
Wektor infekcji
Ofiary są nakłaniane do zainstalowania zagrożenia za pomocą wiadomości phishingowych zawierających adres URL fałszywej witryny. Zwodnicza strona internetowa stosuje taktyki zastraszania, takie jak twierdzenie, że urządzenie użytkownika ma przestarzałe zabezpieczenia i zostanie zablokowane. Aby rozwiązać ten nieistniejący problem, użytkownicy są zachęcani do kliknięcia podanego przycisku, który rzekomo ma „zaktualizować” system operacyjny urządzenia. W rzeczywistości dostarczy złośliwe oprogramowanie BrazKing na Androida. Użytkownicy nadal będą musieli zatwierdzić pobieranie, ponieważ aplikacja pochodzi z nieznanego źródła. Następnie zagrożenie spróbuje uzyskać niewielkie uprawnienia, których potrzebuje, maskując je jako wymagania Google.
Ataki nakładkowe
Wcześniejsze wersje BrazKinga pobierały fałszywy ekran logowania dla docelowych aplikacji bankowych z zakodowanego na sztywno adresu URL. Nowsze wersje odeszły od tej techniki, aby stać się bardziej usprawnioną, zwinną i nieuchwytną. Rzeczywiście, zagrożenie wykonuje teraz automatyczne połączenie z serwerem Command-and-Control (C2, C&C) i żąda w locie niezbędnego ekranu nakładki. Cyberprzestępcy ustalają teraz, kiedy ofiara uruchamia odpowiednią aplikację i kiedy aktywować proces przechwytywania danych uwierzytelniających, zamiast pozostawiać go automatycznej funkcji w samym zagrożeniu.
Inną cechą ataków BrazKing jest to, że nie wymagają one zezwolenia użytkownika „android.permission.SYSTEM_ALERT_WINDOW”. Zamiast tego złośliwe oprogramowanie ładuje adres URL ekranu nakładki do widoku internetowego i wyświetla go w oknie.
Szkodliwe oprogramowanie do bankowości mobilnej wciąż ewoluuje, a użytkownicy powinni podjąć niezbędne środki, aby chronić swoje urządzenia i nie narażać się na niepotrzebne ryzyko.
