Threat Database Banking Trojan MalRhino Android Banking Trojan

MalRhino Android Banking Trojan

O MalRhino Android Banking Trojan é a segunda ameaça pertencente a uma família de malware não classificada, que foi descoberta pela Check Point Research. Enquanto os atores da ameaça adotaram uma abordagem minimalista com suas outras criações ameaçadoras chamadas PixStealer, o MalRhino está mais alinhado com os típicos Trojans bancários do Android. Isso não significa que a ameaça não esteja equipada com várias técnicas novas ou raramente vistas. A conexão entre as duas ameaças foi feita com base em semelhanças em seus manifestos, mensagens de logs, nomes de serviços e métodos, etc.

Análise MalRhino,

A ameaça também abusa do Serviço de Acessibilidade do Android para realizar suas ações prejudiciais. O objetivo do Serviço de Acessibilidade é tornar o controle do dispositivo muito mais fácil para pessoas com deficiência. Os hackers notaram as inúmeras funções disponíveis por meio delerapidamente e têm explorado o serviço em suas criações de malware. Por exemplo, eles podem monitorar as atividades que ocorrem na tela do dispositivo e interceptá-las. Além disso, os invasores podem simular cliques e toques como se o usuário os tivesse feito.

No entanto, a maneira como o MalRhino é capaz de processar eventos de acessibilidade dinamicamente é bastante interessante. A ameaça usa JavaScript por meio da estrutura Rhino da Mozilla. Os invasores podem então verificar o aplicativo em execução. Se corresponder a um dos aplicativos de destino, os hackers podem aproveitar seu acesso remoto para executar um código específico. A última vez que os pesquisadores da Check Point observaram essa técnica em uma ameaça de malware foi em 2016, como parte do malware do banco Xbot.

A Cadeia de Ataque do MalRhino

A ameaça está sendo implantada por meio de versões falsas do aplicativo iToken do Inter Bank do Brasil. O nome do pacote do aplicativo trojanizado é 'com.gnservice.beta e pode indicar que a ameaça ainda está nos estágios iniciais de desenvolvimento. Deve-se notar que o aplicativo falso estava disponível para download na Google Play Store oficial.

Uma vez dentro do dispositivo da vítima, o MalRhino exibirá uma mensagem pedindo permissões de acessibilidade. Para enganar o usuário, o aplicativo finge que precisa de permissão para funcionar corretamente. Se for bem-sucedido, o Trojan será capaz de executar aplicativos visados (principalmente aplicativos bancários, coletar dados do dispositivo e a lista de aplicativos instalados e enviar as informações adquiridas para seu servidor de comando e controle (C&C, C2). a funcionalidade ameaçadora envolve a recuperação do código PIN do aplicativo Nubank.

A ameaça do MalRhino mostra ainda mais a necessidade de cautela ao conceder permissões aos aplicativos nos seus dispositivos, mesmo se os aplicativos foram instalados por meio de plataformas de lojas oficiais.

Tendendo

Mais visto

Carregando...