Drrinik Android Trojan'ın yeni bir versiyonu, kurbanların kişisel bilgilerini ve bankacılık kimlik bilgilerini çalmak için ülkenin resmi vergi yönetimi uygulaması olarak maskelenen 18 Hint bankasını hedefliyor.
Drrinik, 2016'dan beri Hindistan'da dolaşıyor ve SMS stealer olarak faaliyet gösteriyor, ancak Eylül 2021'de kurbanları kimlik avı sayfalarına yönlendirerek 27 finans enstitüsünü hedefleyen bankacılık Trojan özelliklerini ekledi.
Cyble analistleri kötü amaçlı yazılımları takip ediyorlar ve geliştiricilerinin ekran kaydı, keyloglama, erişilebilirlik hizmetlerinin kötüye kullanılması ve kaplama saldırıları gerçekleştirme yeteneği ile tam bir Android bankacılık Truva atına dönüştüğünü bildiriyor.
Kötü amaçlı yazılımın en son sürümü, Hindistan'ın Gelir Vergisi Departmanı'nın resmi vergi yönetim aracı olan 'IASSIST' adlı bir APK şeklinde geliyor.
Kurulum üzerine, SMS alması, okuması ve göndermesi, kullanıcının çağrı günlüğünü okuması ve harici depolama alanına okuması ve yazması için izinler ister.
Ardından, kullanıcıya uygulamanın (AB) erişilebilirlik hizmetini kullanmasına izin vermesini ister. Verilirse, Google Play Protect'i devre dışı bırakır ve navigasyon hareketlerini gerçekleştirmek, ekranı kaydetmek ve anahtar preslerini yakalamak için kullanır.
Sonunda, uygulama gerçek Hint gelir vergisi sitesini geçmiş varyantlar gibi kimlik avı yerine WebView aracılığıyla yükler ve bunun yerine ekranı kaydederek ve bir keylogger kullanarak kullanıcı kimlik bilgilerini çalar.
Drrinik ayrıca, kurbanın, söndürülen ayrıntıların (kullanıcı kimliği, PAN, Aadhar) geçerli olduğundan emin olmak için başarılı bir giriş gösteren bir URL'de olup olmadığını kontrol edecektir.
Bu aşamada, kurban, vergi ajansının önceki vergi yanlış hesaplamaları nedeniyle 57.100 Rs (700 $) geri ödeme almaya hak kazandıklarını ve almak için "Uygula" düğmesine dokunmaya davet edildiğini belirten sahte bir diyalog kutusu sunuldu.
Bu eylem, kurbanları, gerçek gelir vergisi departmanı sitesinin bir klonu olan ve hesap numarası, kredi kartı numarası, CVV ve kart pimi de dahil olmak üzere finansal bilgilere girmeye yönlendirildikleri bir kimlik avı sayfasına götürür.
On sekiz bankayı hedeflemek için Drrinik, uygulamaları gibi hedeflenen bankacılık uygulamalarıyla ilgili etkinlikler için erişilebilirlik hizmetini sürekli olarak izler.
Hedeflenen bankalar arasında dünyanın en büyük bankalarından biri olan SBI (Hindistan Devlet Bankası), 22.000 şubeden oluşan büyük bir ağ aracılığıyla 450.000.000 kişiye hizmet veriyor.
Bir eşleşme varsa, kötü amaçlı yazılım, kullanıcı kimlik bilgilerini içeren ve bunları C2 sunucusuna sifonlayan keylogging verilerini toplar.
Bu saldırı sırasında Drrinik, “CallScreeningservice” i, girişi kesintiye uğratabilecek gelen çağrıları ve uzatmaya göre veri çalma sürecini reddetmesi için kötüye kullanıyor.
Drrinik, diğer bankacılık Truva atları kadar sofistike veya gelişmiş olmasa da, yazarları onu daha güçlü hale getirmeye kararlı görünüyorlar ve sürekli olarak tespit edilmesini zorlaştıran özellikler ekliyorlar.
Hindistan vergi mükelleflerinin ve bankacılık müşterilerinin peşinden gitmek, Drrinik'in büyük bir hedefleme havuzuna sahip olduğu anlamına gelir, bu nedenle her yeni başarılı özellik potansiyel olarak kötü amaçlı yazılım operatörleri için önemli finansal kazanımlara dönüşür.
Bu tehditten kaçınmak için, her zaman oyun mağazasının dışından APK indirmelerinden kaçının ve e-bankacılık portallarına giriş yapmak için 2FA gibi biyometrik kimlik doğrulamasını etkinleştirin.
Google Play'de bulunan 130k yüklemeli Android kötü amaçlı yazılım damlaları
Ursnif kötü amaçlı yazılım, banka hesabı hırsızlığından başlangıç erişimine geçiş yapar
Hacking Grubu Furball android casus yazılımları Kaçınma Tespiti
Resmi Olmayan WhatsApp Android Uygulaması Kullanıcıların Hesaplarını Çalmaya Yakalandı
Hackerlar Buzlu Kireçli Yazılım Saldırılarının Arkasındaki Teslimat Taktiklerini Çeşitlendirin
Kaynak: Bleeping Computer