O trojan Drinik Android está usando uma nova versão para atingir 18 bancos indianos, se passando por o aplicativo usado pelo país para gerenciar o pagamento de impostos. O principal objetivo desses criminosos é roubar informações pessoais e de contas bancárias de suas vítimas.
O malware conhecido como Drinik está nos noticiários desde 2016 e é um malware relativamente antigo. Como resultado deste malware, o governo indiano já emitiu um alerta aos usuários do Android sobre a possibilidade de informações roubadas serem usadas para gerar restituições de imposto de renda.
Atualmente, o aplicativo Drinik está disponível como um arquivo APK integrado ao aplicativo iAssist para Android. O monitoramento constante das diferentes variantes do malware Drinik Android tem sido conduzido pela Cyble Research & Intelligence Labs nos últimos anos.
No caso desta variante de malware, ele se comunica com um servidor Command & Control (C&C) hospedado em IP 198[.]12[.]107.13. A campanha anterior também usou o mesmo endereço IP para comunicação de comando e controle, o que indica que o mesmo Threat Actor (TA) estava por trás de ambas as campanhas.
A evolução de Drinik
A CRIL observou que este malware tem 3 diferentes variantes desde o ano passado. Em setembro de 2021, apareceu em cena a primeira variante de malware, que foi usada para roubar credenciais por meio de páginas de phishing.
Duas novas variantes do vírus foram descoberto em estado selvagem durante o ano de 2022, que inclui a capacidade de registrar a atividade da tela e registrar as teclas digitadas.
No entanto, a nova variante do malware possui recursos diferentes, e é por isso que mencionamos todos os elementos na lista abaixo: –
- Registro de teclas
- Abusos da acessibilidade
- Uma página de phishing está sendo usada para coletar credenciais
- O APK de carga útil foi baixado
- Envia SMS do dispositivo infectado
- Roubar SMS recebidos
- Ataque de sobreposição
- Gravação de tela
- Recebendo comandos via FirebaseCloudMessaging
Roubando dados do usuário
Em sua versão mais recente, o malware aparece como um APK chamado ‘iAssist’, que é supostamente a ferramenta oficial de gerenciamento tributário do Departamento de Imposto de Renda da Índia.
Quando o aplicativo for instalado, ele solicitará acesso ao SMS, registro de chamadas e dispositivos de armazenamento externos do usuário. Além disso, também será feita uma solicitação de permissão para receber, ler e enviar mensagens SMS.
O próximo passo é perguntar ao usuário se ele deseja dar permissão ao aplicativo para usar o Serviço de Acessibilidade. Ao conceder permissão, ele usa o Google Play Protect para executar as seguintes tarefas: –
- Gestos de navegação
- Grave a tela
- Capturar teclas digitadas
Ao final do aplicativo, o site real do imposto de renda indiano será carregado via WebView em vez de páginas de phishing; o aplicativo será configurado para roubar as credenciais do usuário por meio de gravações de tela e keylogging.
Informações de metadados do APK
- Nome do aplicativo: iAssist
- Nome do pacote: lincoln.auy.iAssist
- Hash SHA256: 86acaac2a95d0b7ebf60e56bca3ce400ef2f9080dbc463d6b408314c265cb523
Os bancos foram alvo
Usando o Serviço de Acessibilidade, Drinik fica constantemente de olho nos eventos relacionados aos aplicativos bancários visados, para que possam implementar facilmente seu processo de ataque.
Vários bancos estão a ser alvo, incluindo o SBI (State Bank of India), um banco que serve mais de 450 milhões de pessoas diariamente com uma enorme rede de 22 mil agências ativas.
Usando os dados de digitação coletados dos usuários, o malware tentará explorar as credenciais desse usuário para enviá-las a um servidor C2 se encontrar alguma correspondência.
Recomendações
Os especialistas em segurança cibernética recomendaram algumas mitigações, por isso as listamos abaixo: –
- O software só deve ser baixado e instalado em lojas de aplicativos oficiais.
- Fontes não confiáveis nunca devem ter acesso aos detalhes do seu cartão, número CVV, PIN do cartão ou credenciais do Net Banking.
- Certifique-se de estar usando um antivírus confiável.
- A autenticação multifator deve ser aplicada sempre que possível.
- Sempre use senhas fortes e exclusivas.
Leia também: Baixe Filtragem Segura da Web – Livre Livro eletrônico