Een Android-malwarecampagne gericht op Iraanse banken heeft de mogelijkheden uitgebreid en extra ontwijkingstactieken toegevoegd om onder de radar te blijven.
Dat blijkt uit een nieuw rapport van Zimperium, dat meer dan 200 kwaadaardige apps ontdekte die verband hielden met de kwaadaardige operatie, waarbij de bedreigingsacteur ook observeerde dat hij phishing-aanvallen uitvoerde tegen de beoogde financiële instellingen.
De campagne kwam eind juli 2023 voor het eerst aan het licht toen Sophos een cluster van 40 apps voor het verzamelen van inloggegevens uiteenzette, gericht op klanten van Bank Mellat, Bank Saderat, Resalat Bank en Central Bank of Iran.
Het primaire doel van de nep-apps is om de slachtoffers te misleiden om hen uitgebreide rechten te verlenen en om inloggegevens van banken en creditcardgegevens te verzamelen door misbruik te maken van de toegankelijkheidsservices van Android.
“De bijbehorende legitieme versies van de kwaadaardige apps zijn beschikbaar op Cafe Bazaar, een Iraanse Android-marktplaats, en hebben miljoenen downloads”, zei Sophos-onderzoeker Pankaj Kohli destijds.
“De kwaadaardige imitaties konden daarentegen worden gedownload van een groot aantal relatief nieuwe domeinen, waarvan sommige door de bedreigingsactoren ook als C2-servers werden gebruikt.”
Interessant genoeg is ook waargenomen dat sommige van deze domeinen HTML-phishingpagina’s aanbieden die zijn ontworpen om inloggegevens van mobiele gebruikers te stelen.
De nieuwste bevindingen van Zimperium illustreren de voortdurende evolutie van de dreiging, niet alleen in termen van een bredere reeks gerichte banken en portemonnee-apps voor cryptocurrency, maar ook door het integreren van voorheen ongedocumenteerde functies die deze krachtiger maken.
Dit omvat het gebruik van de toegankelijkheidsservice om deze extra toestemming te geven om SMS-berichten te onderscheppen, de-installatie te voorkomen en op elementen van de gebruikersinterface te klikken.
Er is ook vastgesteld dat sommige varianten van de malware toegang hebben tot een README-bestand in GitHub-opslagplaatsen om een Base64-gecodeerde versie van de command-and-control (C2)-server en phishing-URL’s te extraheren.
“Hierdoor kunnen aanvallers snel reageren op het verwijderen van phishing-sites door de GitHub-repository bij te werken, zodat kwaadaardige apps altijd de nieuwste actieve phishing-site krijgen”, aldus Zimperium-onderzoekers Aazim Yaswant en Vishnu Pratapagiri.
Een andere opmerkelijke tactiek is het gebruik van tussenliggende C2-servers om tekstbestanden te hosten die de gecodeerde strings bevatten die naar de phishing-sites verwijzen.
Hoewel de campagne tot nu toe zijn aandacht op Android heeft gericht, zijn er aanwijzingen dat het iOS-besturingssysteem van Apple ook een potentieel doelwit is, gebaseerd op het feit dat de phishing-sites verifiëren of de pagina wordt geopend door een iOS-apparaat, en zo ja, de slachtoffer van een website die de iOS-versie van de Bank Saderat Iran-app nabootst.
Het is momenteel niet duidelijk of de iOS-campagne zich in de ontwikkelingsfase bevindt, of dat de apps worden gedistribueerd via een tot nu toe onbekende bron.
De phishing-campagnes zijn niet minder geavanceerd en imiteren de daadwerkelijke websites om inloggegevens, accountnummers, apparaatmodellen en IP-adressen te exfiltreren naar twee door actoren gecontroleerde Telegram-kanalen.
“Het is duidelijk dat moderne malware steeds geavanceerder wordt en dat doelwitten zich uitbreiden, dus runtime-zichtbaarheid en bescherming zijn cruciaal voor mobiele applicaties”, aldus de onderzoekers.
De ontwikkeling komt iets meer dan een maand nadat Fingerprint een methode demonstreerde waarmee kwaadaardige Android-apps heimelijk klembordgegevens kunnen openen en kopiëren door gebruik te maken van de SYSTEM_ALERT_WINDOW-toestemming om de toastmelding te verbergen die wordt weergegeven wanneer een bepaalde app klembordgegevens leest.
“Het is mogelijk om een toast te overschrijven met een andere toast of met een andere weergave. Het volledig verbergen van de originele toast kan voorkomen dat de gebruiker op de hoogte wordt gesteld van klembordacties”, aldus Fingerprint. “Elke toepassing met de machtiging SYSTEM_ALERT_WINDOW kan klembordgegevens lezen zonder de gebruiker hiervan op de hoogte te stellen.”
