Новая версия android-трояна Drinik атакует индийские банки, маскируясь под официальное налоговое приложение, похищая личную информацию жертв и банковские учетные данные.
С сентября 2021 года Drinik получил ряд новых функций:
- запись экрана;
- ведение журнала действий;
- использование служб специальных возможностей;
- выполнение оверлей-атак (Overlay attack).
Последняя версия Drinik попадает на устройства в виде APK-файла приложения iAssist (официальный инструмент управления налогами в Индии). После установки вредонос запрашивает разрешение доступа к SMS, журналу вызовов пользователя и внешнему хранилищу и просит разрешение использовать Accessibility Service (служба специальных возможностей Android). После получения доступа вредоносное ПО отключает защиту Google Play Protect и использует её для выполнения жестов навигации, записи экрана и захвата нажатий клавиш. В результате Drinik через WebView загружает настоящий индийский сайт для управления налогами и крадет учетные данные пользователя, записывая экран и используя кейлоггер.
Пользователю отображается поддельное диалоговое окно, предлагающее возместить налоги в определенном объеме, связывая этос накопившейся задолженностью. Когда пользователь соглашается и нажимает кнопку «Принять», он перенаправляется на фишинговую страницу, которая является клоном реального сайта Департамента подоходного налога, где ему необходимо ввести платежные данные.
Одним из целевых банков является Государственный банк Индии (SBI), один из крупнейших банков в мире, обслуживающий 450 млн. человек через обширную сеть из 22 тыс. отделений.
Источник
