MalRhino Android Banking Trojan
MalRhino Android Bankacılık Truva Atı, Check Point Research tarafından keşfedilen, sınıflandırılmamış bir kötü amaçlı yazılım ailesine ait ikinci tehdittir. Tehdit aktörleri, PixStealer adlı diğer tehdit edici kreasyonlarıyla minimalist bir yaklaşım sergilerken, MalRhino, tipik Android bankacılık Truva Atları ile daha uyumludur. Bu, tehdidin birkaç yeni veya nadiren görülen tekniklerle donatılmadığı anlamına gelmez. İki tehdit arasındaki bağlantı, bildirimlerindeki, günlük mesajlarındaki, hizmet ve yöntem adlarındaki vb. benzerliklere dayalı olarak yapılmıştır.
MalRhino Analizi
Tehdit, zararlı eylemlerini gerçekleştirmek için Android Erişilebilirlik Hizmetini de kötüye kullanıyor. Erişilebilirlik Hizmetinin amacı, aygıtın kontrol edilmesini engelli kişiler için çok daha kolay hale getirmektir. Bilgisayar korsanları, onun aracılığıyla sunulan sayısız işlevi fark ettiler.hızlı bir şekilde ve kötü amaçlı yazılım oluşturmalarında hizmetten yararlanıyorlar. Örneğin, cihazın ekranında gerçekleşen etkinlikleri izleyebilir ve bunlara müdahale edebilirler. Ayrıca, saldırganlar tıklamaları ve dokunmaları sanki kullanıcı yapmış gibi simüle edebilir.
Ancak, MalRhino'nun Erişilebilirlik Olaylarını dinamik olarak işleme yeteneği oldukça ilginçtir. Tehdit, Mozilla'nın Rhino çerçevesi aracılığıyla JavaScript kullanıyor. Saldırganlar daha sonra en çok çalışan uygulamayı tarayabilir. Hedeflenen uygulamalardan biriyle eşleşirse, bilgisayar korsanları belirli kodu yürütmek için uzaktan erişimlerinden yararlanabilir. Check Point araştırmacıları, bu tekniği bir kötü amaçlı yazılım tehdidinde en son 2016'da Xbot banker kötü amaçlı yazılımının bir parçası olarak görmüştü.
MalRhino'nun Saldırı Zinciri
Tehdit, Brezilya Inter Bank'ın iToken uygulamasının sahte sürümleri aracılığıyla dağıtılıyor. Truva atlı uygulamanın paket adı 'com.gnservice.beta'dır ve bu, tehdidin hala geliştirme sürecinin ilk aşamalarında olduğunu gösterebilir. Sahte uygulamanın resmi Google Play Store'dan indirilebildiği belirtilmelidir.
Kurbanın cihazına girdiğinde, MalRhino Erişilebilirlik izinlerini isteyen bir mesaj görüntüler. Kullanıcıyı kandırmak için uygulama, düzgün çalışması için izne ihtiyacı varmış gibi davranır. Başarılı olursa, Truva Atı hedeflenen uygulamaları çalıştırabilecek (çoğunlukla banka uygulamaları, cihaz verilerini ve yüklü uygulamaların listesini toplayabilecek ve edindiği bilgileri Komuta ve Kontrol (C&C, C2) sunucusuna gönderebilecek). tehdit edici işlevsellik, pin kodunun Nubank uygulamasından alınmasını içerir.
MalRhino tehdidi, uygulamalar resmi mağaza platformları aracılığıyla yüklenmiş olsa bile, cihazlarındaki uygulamalara izin verirken dikkatli olunması gerektiğini daha da ortaya koyuyor.
