Drinik Android Banking Trojan

L'équipe indienne d'intervention d'urgence informatique (CERT-In) met en garde les résidents indiens contre une campagne d'attaque active qui déploie une menace de malware Android nommée Drinik. L'objectif de l'acteur de la menace est d'obtenir des informations personnelles sensibles à partir des appareils Android compromis en attirant les victimes avec des promesses de remboursement d'impôt sur le revenu.

Drinik n'est pas une nouvelle menace, car il a été utilisé depuis 2016. À cette époque, la fonctionnalité de la menace était principalement limitée à celle d'un simple voleur de SMS. Cependant, selon CERT-In, les versions actuelles montrent des niveaux élevés de développement et d'amélioration. Les attaquants déploient maintenant Drinik comme un cheval de Troie bancaire visant à collecter des données bancaires et financières ainsi que d'autres informations personnelles sur les victimes.

La chaîne d'attaque

L'opération d'attaque actuelle commence par l'envoi par l'acteur de la menace de liens via des messages SMS à des utilisateurs peu méfiants. Lorsqu'il est cliqué, le lien mène à un site Web de phishing conçu pour imiter la page officielle du ministère indien de l'impôt sur le revenu.étroitement. Le faux site demande des informations personnelles sur l'utilisateur avant de télécharger une application corrompue sur l'appareil. L'application porte le malware Drinik.

L'application agit de manière similaire à la version légitime du produit logiciel publié par le service des impôts sur le revenu pour aider les utilisateurs à générer leurs remboursements d'impôt. La fausse application demande diverses autorisations, telles que l'accès aux messages SMS, aux journaux d'appels et aux contacts.

Fonctionnalité menaçante de Drinik

Après avoir reçu les autorisations requises, la fausse application affichera un formulaire de demande de remboursement. Dans ce document, les utilisateurs sont invités à fournir de nombreuses informations personnelles - noms complets, PAN, numéros Aadhaar, adresse, date de naissance, etc. L'application ne s'arrête pas là. Il demande également des informations sensibles supplémentaires pouvant inclure les numéros de compte, le numéro CIF, le code IFSC, les numéros de carte de débit, le CVV, les données d'expiration et le code PIN. L'application menaçante prétend que toutes les informations sont nécessaires pour générer des remboursements d'impôts précis qui seront ensuite transférés directement sur le compte de l'utilisateur.

Cependant, lorsque les victimes appuient sur le bouton « Transférer », un message d'erreur et un faux écran de mise à jour s'affichent pendant que le logiciel malveillant Drinik partage ses informations avec les attaquants en arrière-plan. Les cybercriminels utilisent ensuite les informations personnelles de la victime pour générer un écran bancaire mobile spécifique qui demande les informations d'identification bancaires mobiles de l'utilisateur. Les acteurs de la menace peuvent ensuite exploiter les données collectées de diverses manières, y compris la fraude financière.