MalRhino Android Banking Trojan
MalRhino Android Banking Trojan är det andra hotet som tillhör en oklassificerad malware -familj som upptäcktes av Check Point Research. Medan hotaktörerna tog ett minimalistiskt förhållningssätt med sina andra hotfulla skapelser som heter PixStealer, är MalRhino mer i linje med typiska Android -banktrojaner. Det betyder inte att hotet inte är utrustat med flera nya eller sällan skådade tekniker. Kopplingen mellan de två hoten gjordes baserat på likheter i deras manifest, loggmeddelanden, tjänst- och metodnamn, etc.
MalRhino -analys
Hotet missbrukar också Android Accessibility Service för att utföra dess skadliga åtgärder. Syftet med tillgänglighetstjänsten är att göra det lättare för personer med funktionsnedsättning att styra enheten. Hackare märkte de många funktioner som finns tillgängliga genom densnabbt och har utnyttjat tjänsten i sina malware -skapelser. Till exempel kan de övervaka aktiviteterna som äger rum på enhetens skärm och fånga upp dem. Dessutom kan angriparna simulera klick och tryckningar som om användaren har gjort dem.
Hur MalRhino kan bearbeta tillgänglighetshändelser dynamiskt är dock ganska intressant. Hotet använder JavaScript via Mozillas Rhino -ramverk. Angriparna kan sedan skanna det bästa programmet. Om det matchar en av de riktade applikationerna kan hackarna utnyttja sin fjärråtkomst för att köra specifik kod. Förra gången Check Point -forskare observerade denna teknik i ett hot mot skadlig kod var tillbaka 2016, som en del av Xbot -bankerns skadliga program.
MalRhinos attackkedja
Hotet distribueras via falska versioner av den brasilianska interbankens iToken -applikation. Paketnamnet för den trojaniserade applikationen är 'com.gnservice.beta, och det kan tyda på att hotet fortfarande är i ett tidigt skede av dess utveckling. Det bör noteras att den falska applikationen var tillgänglig för nedladdning från den officiella Google Play Store.
Väl inne i offrets enhet kommer MalRhino att visa ett meddelande som ber om tillgänglighetstillstånd. För att lura användaren låtsas applikationen som att den behöver tillstånd för att fungera korrekt. Om det lyckas kommer trojanen att kunna köra riktade applikationer (mestadels bankapplikationer, samla enhetsdata och listan över installerade appar och skicka den inhämtade informationen till sin Command-and-Control (C&C, C2) -server. En mer specifik, hotfull funktionalitet innebär att man hämtar pinkoden från Nubank -appen.
Hotet från MalRhino visar ytterligare behovet av försiktighet när man ger behörighet till programmen på sina enheter, även om applikationerna installerades via officiella butiksplattformar.
