Банковский троян BrazKing Android вернулся с динамическими банковскими оверлеями и новым трюком реализации, который позволяет ему работать, не запрашивая рискованные разрешения.
Новый образец вредоносного ПО был проанализирован исследователями IBM Trusteer, которые обнаружили его за пределами Play Store, на сайтах, куда люди попадают после получения smishing-сообщений (SMS).
Эти HTTPS-сайты предупреждают потенциальную жертву о том, что они используют устаревшую версию Android, и предлагают APK, который предположительно обновит их до последней версии.
Требуется только одно разрешение
Если пользователь одобряет «загрузки из неизвестных источников», вредоносная программа удаляется на устройство и запрашивает доступ к «Службе специальных возможностей».
Это разрешение используется для создания снимков экрана и нажатия клавиш без запроса каких-либо дополнительных разрешений, которые могут вызвать подозрения.
В частности, служба доступности используется BrazKing для следующих вредоносных действий:
- Программно рассекать экран вместо того, чтобы делать скриншоты в формате изображения. Это можно сделать программно, но на устройстве без рута, что потребует явного одобрения пользователя.
- Возможности кейлоггера, читая просмотры на экране.
- Возможности RAT — BrazKing может управлять целевым банковским приложением, нажимая кнопки или вводя текст.
- Читайте SMS без разрешения android.permission.READ_SMS, читая текстовые сообщения, которые появляются на экране. Это может дать актерам доступ к кодам 2FA.
- Читайте списки контактов без разрешения android.permission.READ_CONTACTS, читая контакты на экране «Контакты».
Начиная с Android 11, Google классифицирует список установленных приложений как конфиденциальную информацию, поэтому любое вредоносное ПО, которое пытается получить его, помечается Play Protect как вредоносное.
Это новая проблема для всех троянов, наложенных на банки, которым необходимо определять, какие банковские приложения установлены на зараженном устройстве для обслуживания соответствующих экранов входа в систему.
BrazKing больше не использует API-запрос getinstalledpackages, как раньше, а вместо этого использует функцию анализа экрана для просмотра того, какие приложения установлены на зараженном устройстве.
Что касается наложения, BrazKing теперь делает это без разрешения System_Alert_Window, поэтому он не может накладывать поддельный экран поверх исходного приложения, как это делают другие трояны.
Вместо этого он загружает фальшивый экран как URL-адрес с сервера злоумышленника в окне веб-просмотра, добавленном из службы специальных возможностей. Это охватывает приложение и все его окна, но не приводит к принудительному выходу из него.
При обнаружении входа в онлайн-банк вместо отображения встроенных оверлеев вредоносная программа теперь будет подключаться к серверу управления и контроля, чтобы получить правильный оверлей для входа в систему для отображения.
Эта динамическая система наложения упрощает злоумышленникам возможность кражи учетных данных для более широкого круга банков. Обслуживание оверлеев с серверов злоумышленников также позволяет им обновлять экраны входа в систему по мере необходимости, чтобы они совпадали с изменениями в законных банковских приложениях или сайтах или добавляли поддержку новых банков.
Обфускация и устойчивость к удалению
Новая версия BrazKing защищает внутренние ресурсы, применяя операцию XOR с использованием жестко запрограммированного ключа, а затем также кодирует их с помощью Base64.
Аналитики могут быстро отменить эти шаги, но они по-прежнему помогают вредоносному ПО оставаться незамеченным, когда оно вложено в устройство жертвы.
Если пользователь пытается удалить вредоносное ПО, он быстро нажимает кнопки «Назад» или «Домой», чтобы предотвратить это действие.
Тот же трюк используется, когда пользователь пытается открыть антивирусное приложение, надеясь просканировать и удалить вредоносное ПО с помощью инструмента безопасности.
Развитие BrazKing показывает, что авторы вредоносных программ быстро приспосабливаются к выпуску более скрытых версий своих инструментов по мере усиления безопасности Android.
Возможность захватывать коды 2FA, учетные данные и делать снимки экрана без накопления разрешений делает троян намного более мощным, чем раньше, поэтому будьте очень осторожны с загрузкой APK за пределами Play Store.
Согласно отчету IBM , BrazKing, похоже, управляется местными группами угроз, поскольку он распространяется на португалоговорящих веб-сайтах.
Последнее обновление 05.01.2023
