В сентябре 2021 года Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-IN) выпустила предупреждение о новом штамме вредоносного ПО, нацеленном на индийских налогоплательщиков, и упомянула, что риску этой атаки подвергаются клиенты около 27 банков.
Drinik Malware
Акторы угроз (АУ), стоящие за этой кампанией, предположительно использовали вредоносное ПО Drinik. Ранний вариант вредоносной программы Drinik был впервые замечен в 2016 году в качестве похитителя SMS. Примерно в августе 2021 года эта вредоносная программа снова была замечена активной, на этот раз превратившись в банковский троян для Android.
Cyble Research & Intelligence Labs (CRIL) постоянно отслеживала различные варианты вредоносной программы Drinik для Android. В сентябре 2021 года CRIL опубликовала блог о маскирующемся приложении для уплаты подоходного налога, которое нацелено на индийских налогоплательщиков с целью кражи персонально идентифицируемой информации (PII) и банковских учетных данных посредством фишинговых атак.
Недавно CRIL обнаружил обновленную версию Drinik, выдающую себя за Департамент подоходного налога Индии и нацеленную на 18 индийских банков (названия банков прямо указаны во вредоносном APK-файле).
TA использует ту же тему кампании для заманивания жертвы, но вредоносная программа была модернизирована с расширенными возможностями. Мы перечислили основные функции, реализованные в новом варианте, которые делают вредоносную программу продвинутой угрозой:
- Запись экрана для сбора учетных данных
- Запись клавиатуры
- злоупотребление CallScreeningService для управления входящими вызовами
- Получение команд через FirebaseCloudMessaging.
Вариант вредоносного ПО взаимодействует с командно-контрольным (C&C) сервером hxxp://gia[.]3utilities.com, который размещен на IP 198[.]12.107[.]13. Наше расследование подтвердило, что предыдущая кампания также использовала тот же IP для связи с C&C, что указывает на то, что за обеими кампаниями стоит один и тот же актор угрозы (TA).
Indicators of Compromise
IPv4
- 198.12.107.13
URLs
- http://gia.3utilities.com
- http://192.227.196.185
MD5
- 0c6257e385f33e46c1839f59bc4b53d7
SHA1
- ba2fb55bb89c98aec3a2130b22584d8c299451ba
SHA256
- 86acaac2a95d0b7ebf60e56bca3ce400ef2f9080dbc463d6b408314c265cb523