BrazKing Android Вредоносное ПО
BrazKing - это вредоносная программа для мобильного банкинга, которая выполняет оверлейные атаки для сбора банковских учетных данных своих жертв. Угроза нацелена на устройства ANdroid и пользователей, находящихся в Бразилии.преимущественно, возможно, предполагая, что его операторы также находятся в этом регионе. Исследователи из IBM Trusteer пролили свет на угрозу, выпустив отчет со своими выводами после анализа нескольких образцов BrazKing. Пока эксперты уверены, что BrazKing все еще находится в разработке.активно из-за значительных различий, представленных в более поздних версиях угрозы.
Оглавление
Злоупотребление службой специальных возможностей Android
Функция доступности призвана сделать использование мобильного устройства более комфортным для людей с ограниченными возможностями. Тем не мение,киберпреступники отточили это и используют сервис для выполнения многочисленных гнусных действий на зараженных устройствах. BrazKing полагается на службу доступностишироко, поскольку это позволяет угрозе ограничить количество конкретных разрешений, которые ей необходимо предоставить пользователю. В результате BrazKing запрашивает небольшое количество менее подозрительных разрешений.
В фоновом режиме BrazKing может имитировать касания экрана, устанавливать подпрограммы кейлоггеров, действовать как RAT (троянец удаленного доступа), перехватывать и читать SMS, захватывая текст сообщений, пока он отображается на экране, и получать доступ к спискам контактов пользователя с помощью читать их с экрана «Контакты» беззвучно. Угроза также устанавливает механизм устойчивости, основанный на функциях службы доступности. Если пользователи попытаются восстановить на зараженном устройстве заводские настройки, BrazKing немедленно имитирует нажатие на кнопки «Назад» и «Домой». Тот же метод также используется для предотвращения запуска пользователями антивирусных решений или попыток сканирования устройства.
Вектор инфекции
Жертв заставляют установить угрозу с помощью фишинговых сообщений, содержащих URL-адрес мошеннического веб-сайта. Обманчивый веб-сайт использует тактику запугивания, например, утверждает, что на устройстве пользователя устарела система безопасности и будет заблокирована. Чтобы исправить эту несуществующую проблему, пользователям предлагается нажать предоставленную кнопку, которая предположительно собирается «обновить» операционную систему устройства. На самом деле он будет поставлять вредоносное ПО BrazKing для Android. Пользователи все равно должны будут одобрить загрузку, поскольку приложение поступает из неизвестного источника. После этого угроза попытается получить необходимые ей небольшие разрешения, замаскировав их под требования Google.
Оверлейные атаки
Более ранние версии BrazKing извлекали поддельный экран входа в систему для целевых банковских приложений с жестко заданного URL-адреса. Более поздние версии отказались от этой техники, чтобы стать более обтекаемыми, гибкими и неуловимыми. Действительно, теперь угроза автоматически обращается к своему серверу Command-and-Control (C2, C&C) и на лету запрашивает необходимый оверлейный экран. Теперь киберпреступники определяют, когда жертва запускает подходящее приложение и когда активировать процесс сбора учетных данных, вместо того, чтобы оставлять его автоматизированной функции внутри самой угрозы.
Другой особенностью атак BrazKing является то, что для них не требуется одобренное пользователем разрешение android.permission.SYSTEM_ALERT_WINDOW. Вместо этого вредоносная программа загружает URL-адрес оверлейного экрана в веб-просмотр и отображает его в окне.
Вредоносное ПО для мобильного банкинга продолжает развиваться, и пользователи должны принимать необходимые меры для защиты своих устройств и не подвергать себя ненужным рискам.
