Банковский троян Drinik Android

Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) предупреждает жителей Индии об активной кампании атаки, в ходе которой развертывается вредоносное ПО для Android под названием Drinik. Цель злоумышленника - получить конфиденциальную личную информацию со скомпрометированных устройств Android, заманив жертв обещаниями возврата подоходного налога.

Drinik не является новой угрозой, так как она использовалась еще в 2016 году. В то время функциональность угрозы в основном ограничивалась функциями простого SMS-стилера. Однако, согласно CERT-In, текущие версии демонстрируют высокий уровень развития и улучшения. Теперь злоумышленники используют Drinik в качестве банковского трояна, предназначенного для сбора банковских и финансовых данных, а также других личных данных о жертвах.

Цепочка атак

Текущая операция атаки начинается с того, что злоумышленник отправляет ссылки через SMS-сообщения ничего не подозревающим пользователям. При нажатии на ссылку открывается фишинговый веб-сайт, имитирующий официальную страницу Департамента подоходного налога Индии.внимательно. Фальшивый сайт запрашивает личную информацию о пользователе перед загрузкой на устройство поврежденного приложения. Приложение содержит вредоносное ПО Drinik.

Приложение действует аналогично законной версии программного продукта, выпущенного Департаментом подоходного налога, чтобы помочь пользователям вернуть свои налоги. Поддельное приложение запрашивает различные разрешения, такие как получение доступа к SMS-сообщениям, журналам вызовов и контактам.

Угрожающая функциональность Дриника

После получения необходимых разрешений в поддельной заявке отобразится форма заявки на возврат. В нем пользователей просят предоставить многочисленные личные данные - полные имена, PAN, номера Aadhaar, адрес, дату рождения и т. Д. Приложение не останавливается на достигнутом. Он также запрашивает дополнительные конфиденциальные данные, которые могут включать номера счетов, номер CIF, код IFSC, номера дебетовых карт, CVV, данные с истекшим сроком действия и PIN-код. Угрожающее приложение делает вид, что вся информация необходима для получения точных налоговых возмещений, которые впоследствии будут переведены непосредственно на учетную запись пользователя.

Однако, когда жертвы нажимают кнопку «Передать», им показывают сообщение об ошибке и фальшивый экран обновления, пока вредоносная программа Drinik делится своей информацией с злоумышленниками в фоновом режиме. Затем киберпреступники используют личную информацию жертвы для создания определенного экрана мобильного банкинга, который запрашивает учетные данные мобильного банка пользователя. Затем злоумышленники могут использовать собранные данные различными способами, включая финансовое мошенничество.