Среди целей усовершенствованного трояна – налогоплательщики и клиенты 18 банков Индии.
Аналитики Cyble заявили , что новая версия Android трояна Drinik нацелена на 18 индийских банков и маскируется под официальное налоговое приложение страны, чтобы похищать личную информацию жертв и банковские учетные данные.
По словам экспертов, Drinik атакует Индию с 2016 года, но с сентября 2021 года он стал работать как банковский троян для Android со следующими возможностями:<ul><li>запись экрана;</li>
</ul><ul><li>ведение журнала действий;</li>
</ul><ul><li>использование служб специальных возможностей;</li>
</ul><ul><li>выполнение оверлей-атак (Overlay attack).</li>
</ul>Последняя версия Drinik представлена ​​в виде APK-файла приложения iAssist, который предположительно является официальным инструментом управления налогами в Индии. После установки он запрашивает разрешение доступа к SMS, журналу вызовов пользователя и внешнему хранилищу.
Также Drinik просит разрешение использовать Accessibility Service (служба специальных возможностей Android). После получения доступа вредоносное ПО отключает защиту Google Play Protect и использует её для выполнения жестов навигации, записи экрана и захвата нажатий клавиш.
В результате Drinik через WebView загружает настоящий индийский сайт для управления налогами и крадет учетные данные пользователя, записывая экран и используя кейлоггер.
https://www.securitylab.ru/upload/im...t-img(663).png
Загрузка сайта и активация записи экрана
На этом этапе отображается поддельное диалоговое окно, в котором пользователю предлагается возмещение налогов в размере 57 100 рупий ($700) из-за предыдущих налоговых просчетов.
Когда пользователь соглашается и нажимает кнопку «Принять», он перенаправляется на фишинговую страницу, которая является клоном реального сайта Департамента подоходного налога, где ему необходимо ввести платежные данные.
https://www.securitylab.ru/upload/im...t-img(664).png
Фишинговый сайт, имитирующий настоящий налоговый портал
Чтобы нацеливаться на 18 банков Индии, Drinik постоянно отслеживает службу специальных возможностей на предмет событий и ключевых слов, связанных с целевыми банковскими приложениями.
Если есть совпадения, вредоносное ПО собирает данные кейлоггера, содержащие учетные данные пользователя, и эксфильтрует их на сервер управления и контроля (C&amp;C). Во время атаки Drinik использует сервис «CallScreeningService», чтобы запретить входящие вызовы, которые могут прервать вход в систему.
Одним из целевых банков является Государственный банк Индии (SBI), один из крупнейших банков в мире, обслуживающий 450 млн. человек через обширную сеть из 22 тыс. отделений.
Преследование индийских налогоплательщиков и банковских клиентов означает, что Drinik имеет огромный пул целевых объектов, поэтому каждая новая успешная функция потенциально приводит к существенной финансовой выгоде для операторов вредоносного ПО.