Drinik Android truva atının yeni bir sürümü, kurbanların kişisel bilgilerini ve bankacılık kimlik bilgilerini çalmak için ülkenin resmi vergi yönetimi uygulaması gibi görünen 18 Hint bankasını hedef alıyor.
Drinik, 2016’dan beri Hindistan’da dolaşmakta ve SMS hırsızı olarak faaliyet göstermektedir, ancak Eylül 2021’de kurbanları kimlik avı sayfalarına yönlendirerek 27 finans kurumunu hedefleyen bankacılık truva atı özellikleri ekledi.
Analistler Cyble kötü amaçlı yazılımı takip ediyor ve geliştiricilerinin onu ekran kaydı, tuş günlüğü, Erişilebilirlik hizmetlerinin kötüye kullanılması ve yer paylaşımlı saldırılar gerçekleştirme yeteneği ile tam bir Android bankacılık truva atına dönüştürdüğünü bildiriyor.
Gerçek sitelerden kimlik bilgilerini çalmak
Kötü amaçlı yazılımın en son sürümü, Hindistan’ın Gelir Vergisi Dairesi’nin resmi vergi yönetimi aracı olduğu varsayılan ‘iAssist’ adlı bir APK biçiminde gelir.
Kurulumun ardından, SMS alma, okuma ve gönderme, kullanıcının arama kaydını okuma ve harici depolama birimine okuma ve yazma izni ister.
Ardından, kullanıcıdan uygulamanın Erişilebilirlik Hizmetini kullanmasına (ab) izin vermesini ister. İzin verilirse, Google Play Protect’i devre dışı bırakır ve gezinme hareketlerini gerçekleştirmek, ekranı kaydetmek ve tuşa basışları yakalamak için kullanır.
Sonunda, uygulama, geçmiş varyantlar gibi kimlik avı sayfaları yerine WebView aracılığıyla gerçek Hindistan gelir vergisi sitesini yükler ve bunun yerine ekranı kaydederek ve bir keylogger kullanarak kullanıcı kimlik bilgilerini çalar.
Drinik ayrıca, sızdırılan ayrıntıların (kullanıcı kimliği, PAN, AADHAR) geçerli olduğundan emin olmak için kurbanın başarılı bir oturum açtığını gösteren bir URL’de bulunup bulunmadığını da kontrol edecektir.
Bu aşamada, kurbana, vergi dairesinin önceki vergi yanlış hesaplamaları nedeniyle 57.100 Rs (700 $) tutarında bir geri ödeme almaya uygun olduğunu bulduğunu ve bunu almak için “Uygula” düğmesine dokunmaya davet edildiğini söyleyen sahte bir diyalog kutusu sunulur.
Bu eylem, kurbanları gerçek Gelir Vergisi Dairesi sitesinin bir kopyası olan ve hesap numarası, kredi kartı numarası, CVV ve kart PIN’i gibi finansal bilgileri girmeye yönlendirildikleri bir kimlik avı sayfasına götürür.
Bankaları hedefleme
On sekiz bankayı hedeflemek için Drinik, uygulamaları gibi hedeflenen bankacılık uygulamalarıyla ilgili olaylar için Erişilebilirlik Hizmetini sürekli olarak izler.
Hedeflenen bankalar arasında, dünyanın en büyük bankalarından biri olan ve 22.000 şubeden oluşan devasa bir ağ üzerinden 450.000.000 kişiye hizmet veren SBI (Hindistan Devlet Bankası) bulunmaktadır.
Bir eşleşme varsa, kötü amaçlı yazılım, kullanıcı kimlik bilgilerini içeren keylogging verilerini toplar ve bunları C2 sunucusuna aktarır.
Bu saldırı sırasında Drinik, oturum açmayı ve buna bağlı olarak veri çalma sürecini kesintiye uğratabilecek gelen aramalara izin vermemek için “CallScreeningService”i kötüye kullanır.
drinik gelişen
Drinik, diğer bankacılık truva atları kadar karmaşık veya gelişmiş olmasa da, yazarları onu daha güçlü hale getirmeye kararlı görünüyor ve sürekli olarak tespit edilmesini zorlaştıran özellikler ekliyor.
Hintli vergi mükelleflerinin ve bankacılık müşterilerinin peşine düşmek, Drinik’in devasa bir hedefleme havuzuna sahip olduğu anlamına gelir; bu nedenle, her yeni başarılı özellik potansiyel olarak kötü amaçlı yazılım operatörleri için önemli finansal kazançlar anlamına gelir.
Bu tehdidi önlemek için Play Store dışından APK indirmelerinden her zaman kaçının ve e-bankacılık portallarına giriş yapmak için 2FA gibi biyometrik kimlik doğrulamayı etkinleştirin.