Drinik Android Banking Trojan

Indyjski zespół reagowania na incydenty komputerowe (CERT-In) ostrzega mieszkańców Indii przed aktywną kampanią ataków, która wykorzystuje złośliwe oprogramowanie na Androida o nazwie Drinik. Celem cyberprzestępcy jest uzyskanie poufnych danych osobowych ze zhakowanych urządzeń z Androidem poprzez zwabienie ofiar obietnicami zwrotu podatku dochodowego.

Drinik nie jest nowym zagrożeniem, ponieważ był używany już w 2016 roku. W tamtym czasie funkcjonalność zagrożenia ograniczała się głównie do prostego złodzieja SMS-ów. Jednak według CERT-In obecne wersje wykazują wysoki poziom rozwoju i ulepszeń. Atakujący wdrażają teraz Drinik jako trojana bankowego, którego celem jest zbieranie danych bankowych i finansowych wraz z innymi danymi osobowymi ofiar.

Łańcuch Ataku

Bieżąca operacja ataku rozpoczyna się od wysyłania przez cyberprzestępcę odsyłaczy za pośrednictwem wiadomości SMS do niczego niepodejrzewających użytkowników. Po kliknięciu odsyłacz prowadzi do strony phishingowej zaprojektowanej w celu naśladowania oficjalnej strony indyjskiego Departamentu Podatku Dochodowegodokładnie. Fałszywa witryna prosi o podanie danych osobowych użytkownika przed pobraniem uszkodzonej aplikacji na urządzenie. Aplikacja zawiera malware Drinik.

Aplikacja działa podobnie do legalnej wersji oprogramowania wydanego przez Departament Podatku Dochodowego, aby pomóc użytkownikom w generowaniu zwrotu podatku. Fałszywa aplikacja prosi o różne uprawnienia, takie jak uzyskanie dostępu do wiadomości SMS, dzienników połączeń i kontaktów.

Groźna funkcjonalność Drinika

Po otrzymaniu wymaganych uprawnień fałszywa aplikacja wyświetli formularz wniosku o zwrot pieniędzy. W nim użytkownicy proszeni są o podanie wielu danych osobowych - imienia i nazwiska, numeru PAN, Aadhaar, adresu, daty urodzenia itp. Na tym aplikacja się nie kończy. Pyta również o dodatkowe wrażliwe dane, które mogą obejmować numery kont, numer CIF, kod IFSC, numery kart debetowych, CVV, dane o wygaśnięciu i PIN. Zagrażająca aplikacja udaje, że wszystkie informacje są potrzebne do wygenerowania dokładnych zwrotów podatku, które zostaną następnie przelane bezpośrednio na konto użytkownika.

Jednak, gdy ofiary dotkną przycisku „Prześlij”, wyświetla się im komunikat o błędzie i fałszywy ekran aktualizacji, podczas gdy złośliwe oprogramowanie Drinik udostępnia w tle ich informacje atakującym. Następnie cyberprzestępcy wykorzystują dane osobowe ofiary do wygenerowania specjalnego ekranu bankowości mobilnej, który pyta użytkownika o dane uwierzytelniające bankowość mobilną. Zagrożenia mogą następnie wykorzystywać zebrane dane na różne sposoby, w tym oszustwa finansowe.