BrazKing Android Malware
BrazKing är en skadlig programvara för mobilbanker som utför överlagringsattacker för att samla in sina offers bankuppgifter. Hotet riktar sig till ANDroid-enheter och användare i Brasilienövervägande, vilket möjligen tyder på att dess operatörer också finns i regionen. Forskarna vid IBM Trusteer belyste hotet genom att släppa en rapport med sina resultat efter analys av flera BrazKing-prover. Hittills är experterna övertygade om att BrazKing fortfarande utvecklasaktivt på grund av de betydande skillnader som införts i de nyare versionerna av hotet.
Innehållsförteckning
Missbrukar Androids tillgänglighetstjänst
Tillgänglighetsfunktionen är avsedd att göra användningen av den mobila enheten bekvämare för personer med funktionshinder. Dock,cyberbrottslingar har finslipat det och utnyttjar tjänsten för att utföra många skändliga handlingar på de infekterade enheterna. BrazKing förlitar sig på tillgänglighetstjänsteni stor utsträckning, eftersom detta tillåter hotet att begränsa antalet specifika behörigheter som det skulle behöva beviljas av användaren. Som ett resultat ber BrazKing om ett litet antal mindre misstänkta tillstånd.
I bakgrunden kan BrazKing simulera skärmtryckningar, upprätta keyloggningsrutiner, fungera som en RAT (Remote Access Trojan), avlyssna och läsa SMS genom att fånga texten i meddelandena medan den visas på skärmen, och komma åt användarens kontaktlistor genom att läsa dem från skärmen "Kontakter" tyst. Hotet etablerar också en beständighetsmekanism baserad på tillgänglighetstjänstens funktioner. Om användare försöker återställa den infekterade enheten till dess fabriksinställningar, kommer BrazKing omedelbart att simulera ett tryck på knapparna "Tillbaka" och "Hem". Samma teknik används också för att förhindra användare från att lansera lösningar mot skadlig programvara eller försöka köra en skanning av enheten.
Infektion vektor
Offren luras att installera hotet via nätfiskemeddelanden med webbadressen till en bluffwebbplats. Den vilseledande webbplatsen använder skrämseltaktik som att hävda att användarens enhet har föråldrad säkerhet och kommer att blockeras. För att åtgärda detta obefintliga problem uppmanas användare att klicka på den medföljande knappen som förmodligen kommer att "uppdatera" enhetens operativsystem. I verkligheten kommer det att leverera BrazKing Android-skadlig programvara. Användare måste fortfarande godkänna nedladdningen eftersom applikationen kommer från en okänd källa. Efteråt kommer hotet att försöka få de små behörigheter det behöver, vilket maskerar dem som Googles krav.
Överlagringsattacker
Tidigare BrazKing-versioner hämtade den falska inloggningsskärmen för de riktade bankapplikationerna från en hårdkodad URL. Nyare versioner har gått bort från denna teknik för att bli mer strömlinjeformade, smidiga och svårfångade. Hotet ringer nu ett automatiskt anrop till sin Command-and-Control-server (C2, C&C) och begär den nödvändiga överlagringsskärmen i farten. De cyberbrottslingar bestämmer nu när en lämplig app lanseras av offret och när de ska aktivera processen för att hämta inloggningsuppgifter istället för att överlåta den till en automatiserad funktion inom själva hotet.
En annan egenskap hos BrazKing-attackerna är att de inte kräver den användargodkända behörigheten 'android.permission.SYSTEM_ALERT_WINDOW'. Istället laddar den skadliga programvaran överläggsskärmens URL till en webbvy och visar den i ett fönster.
Skadlig programvara för mobilbanker fortsätter att utvecklas och användare bör vidta nödvändiga åtgärder för att skydda sina enheter och inte utsätta sig för onödiga risker.
