Threat Database Banking Trojan Банковский троян MalRhino для Android

Банковский троян MalRhino для Android

Банковский троян MalRhino для Android - вторая угроза из несекретного семейства вредоносных программ, обнаруженная Check Point Research. В то время как злоумышленники использовали минималистский подход в отношении других своих угрожающих творений под названием PixStealer, MalRhino больше соответствует типичным банковским троянам Android. Это не означает, что угроза не оснащена несколькими новыми или редко встречающимися методами. Связь между двумя угрозами была основана на сходстве их манифестов, сообщений журналов, имен служб и методов и т. Д.

Анализ MalRhino

Угроза также злоупотребляет службой доступности Android для выполнения своих вредоносных действий. Цель службы специальных возможностей - упростить управление устройством для людей с ограниченными возможностями. Хакеры заметили множество функций, доступных через него.быстро и использовали сервис в своих вредоносных программах. Например, они могут отслеживать действия, происходящие на экране устройства, и перехватывать их. Кроме того, злоумышленники могут имитировать щелчки и нажатия, как если бы их сделал пользователь.

Однако способ, которым MalRhino может динамически обрабатывать события доступности, весьма интересен. Угроза использует JavaScript через фреймворк Mozilla Rhino. Затем злоумышленники могут сканировать самое запущенное приложение. Если он соответствует одному из целевых приложений, хакеры могут использовать свой удаленный доступ для выполнения определенного кода. В последний раз исследователи Check Point наблюдали эту технику при угрозе вредоносного ПО еще в 2016 году как часть вредоносного ПО Xbot banker.

Цепочка атак MalRhino

Угроза распространяется через поддельные версии приложения iToken бразильского банка Inter Bank. Имя пакета троянизированного приложения - com.gnservice.beta, и это может указывать на то, что угроза все еще находится на ранней стадии своего развития. Следует отметить, что поддельное приложение было доступно для скачивания в официальном магазине Google Play.

Попав внутрь устройства жертвы, MalRhino отобразит сообщение с запросом разрешений доступа. Чтобы обмануть пользователя, приложение делает вид, что ему требуется разрешение для правильной работы. В случае успеха троянец сможет запускать целевые приложения (в основном банковские приложения, собирать данные с устройств и список установленных приложений и отправлять полученную информацию на свой командно-контрольный (C&C, C2) сервер. Более конкретно, угрожающая функциональность включает получение пин-кода из приложения Nubank.

Угроза MalRhino также демонстрирует необходимость осторожности при предоставлении разрешений приложениям на их устройствах, даже если приложения были установлены через официальные платформы магазинов.

В тренде

Наиболее просматриваемые

Загрузка...