Threat Database Banking Trojan MalRhino Android Banking Trojan

MalRhino Android Banking Trojan

Le cheval de Troie bancaire Android MalRhino est la deuxième menace appartenant à une famille de logiciels malveillants non classés découverte par Check Point Research. Alors que les acteurs de la menace ont adopté une approche minimaliste avec leurs autres créations menaçantes nommées PixStealer, MalRhino est plus conforme aux chevaux de Troie bancaires Android typiques. Cela ne signifie pas que la menace n'est pas équipée de plusieurs techniques nouvelles ou rarement vues. Le lien entre les deux menaces a été établi sur la base de similitudes dans leurs manifestes, messages de journaux, noms de service et de méthode, etc.

Analyse MalRhino

La menace abuse également du service d'accessibilité Android pour effectuer ses actions nuisibles. L'objectif du service d'accessibilité est de rendre le contrôle de l'appareil beaucoup plus facile pour les personnes handicapées. Les pirates ont remarqué les nombreuses fonctions disponibles via celui-cirapidement et ont exploité le service dans leurs créations de logiciels malveillants. Par exemple, ils peuvent surveiller les activités qui se déroulent sur l'écran de l'appareil et les intercepter. De plus, les attaquants peuvent simuler des clics et des tapotements comme si l'utilisateur les avait effectués.

Cependant, la façon dont MalRhino est capable de traiter dynamiquement les événements d'accessibilité est assez intéressante. La menace utilise JavaScript via le framework Rhino de Mozilla. Les attaquants peuvent alors analyser la principale application en cours d'exécution. S'il correspond à l'une des applications ciblées, les pirates peuvent tirer parti de leur accès à distance pour exécuter un code spécifique. La dernière fois que les chercheurs de Check Point ont observé cette technique dans une menace de malware, c'était en 2016, dans le cadre du malware Xbot Banker.

Chaîne d'attaque de MalRhino

La menace est déployée via de fausses versions de l'application iToken de l'Inter Bank brésilienne. Le nom du package de l'application cheval de Troie est 'com.gnservice.beta, et cela pourrait indiquer que la menace en est encore aux premiers stades de son développement. A noter que la fausse application était disponible en téléchargement sur le Google Play Store officiel.

Une fois à l'intérieur de l'appareil de la victime, MalRhino affichera un message demandant les autorisations d'accessibilité. Pour tromper l'utilisateur, l'application prétend avoir besoin d'une autorisation pour fonctionner correctement. En cas de succès, le cheval de Troie pourra exécuter des applications ciblées (principalement des applications bancaires, collecter les données de l'appareil et la liste des applications installées et envoyer les informations acquises à son serveur Command-and-Control (C&C, C2). la fonctionnalité menaçante consiste à récupérer le code PIN de l'application Nubank.

La menace MalRhino montre en outre la nécessité de faire preuve de prudence lors de l'octroi d'autorisations aux applications sur leurs appareils, même si les applications ont été installées via des plateformes de magasin officielles.

Tendance

Le plus regardé

Chargement...