Threat Database Banking Trojan MalRhino Android Banking Trojan

MalRhino Android Banking Trojan

Trojan bankowy MalRhino dla Androida jest drugim zagrożeniem należącym do niesklasyfikowanej rodziny złośliwego oprogramowania, które zostało wykryte przez Check Point Research. Podczas gdy cyberprzestępcy przyjęli minimalistyczne podejście do swoich innych groźnych tworów o nazwie PixStealer, MalRhino jest bardziej zgodny z typowymi trojanami bankowymi dla Androida. Nie oznacza to, że zagrożenie nie jest wyposażone w kilka nowatorskich lub rzadko spotykanych technik. Połączenie między tymi dwoma zagrożeniami zostało nawiązane na podstawie podobieństw w ich manifestach, komunikatach logów, nazwach usług i metod itp.

Analiza MalRhino

Zagrożenie wykorzystuje również usługę ułatwień dostępu Androida do wykonywania szkodliwych działań. Celem Usługi ułatwień dostępu jest znaczne ułatwienie obsługi urządzenia osobom niepełnosprawnym. Hakerzy zauważyli liczne funkcje dostępne za jego pośrednictwemszybko i wykorzystują tę usługę w swoich kreacjach złośliwego oprogramowania. Na przykład mogą monitorować czynności wykonywane na ekranie urządzenia i przechwytywać je. Ponadto osoby atakujące mogą symulować kliknięcia i stuknięcia tak, jakby użytkownik je wykonał.

Jednak sposób, w jaki MalRhino jest w stanie dynamicznie przetwarzać zdarzenia dostępności, jest dość interesujący. Zagrożenie wykorzystuje JavaScript za pośrednictwem frameworka Rhino Mozilli. Atakujący mogą następnie przeskanować działającą aplikację. Jeśli pasuje do jednej z atakowanych aplikacji, hakerzy mogą wykorzystać swój zdalny dostęp do wykonania określonego kodu. Ostatni raz badacze Check Point zaobserwowali tę technikę w zagrożeniu złośliwym oprogramowaniem w 2016 r., jako część złośliwego oprogramowania bankowego Xbot.

Łańcuch Ataku MalRhino

Zagrożenie jest wdrażane za pośrednictwem fałszywych wersji aplikacji iToken brazylijskiego Inter Banku. Nazwa pakietu trojanizowanej aplikacji to „com.gnservice.beta" i może to wskazywać, że zagrożenie jest wciąż na wczesnym etapie rozwoju. Należy zauważyć, że fałszywa aplikacja była dostępna do pobrania z oficjalnego sklepu Google Play.

Po wejściu do urządzenia ofiary MalRhino wyświetli komunikat z prośbą o uprawnienia dostępu. Aby oszukać użytkownika, aplikacja udaje, że potrzebuje uprawnień do prawidłowego działania. Jeśli się powiedzie, trojan będzie mógł uruchamiać ukierunkowane aplikacje (głównie aplikacje bankowe, zbierać dane o urządzeniach i listę zainstalowanych aplikacji oraz wysyłać pozyskane informacje do swojego serwera Command-and-Control (C&C, C2). Groźna funkcjonalność polega na pobraniu kodu PIN z aplikacji Nubank.

Zagrożenie MalRhino dodatkowo pokazuje potrzebę ostrożności podczas przyznawania uprawnień aplikacjom na ich urządzeniach, nawet jeśli aplikacje zostały zainstalowane za pośrednictwem oficjalnych platform sklepowych.

Popularne

Najczęściej oglądane

Ładowanie...