Cybersecurity-onderzoekers hebben licht geworpen op twee verschillende Android-trojans BankBot-YNRK En LeveringRAT die in staat zijn gevoelige gegevens van aangetaste apparaten te verzamelen.
Volgens CYFIRMA, dat drie verschillende voorbeelden van BankBot-YNRK heeft geanalyseerd, bevat de malware functies om analyse-inspanningen te omzeilen door eerst de werking ervan in een gevirtualiseerde of geëmuleerde omgeving te controleren en vervolgens apparaatgegevens zoals de fabrikant en de modelnaam te extraheren om vast te stellen of de malware op een echt apparaat wordt uitgevoerd.
BankBot-YNRK controleert ook of het apparaat is vervaardigd door Oppo, of draait op ColorOS, een versie van het Android-besturingssysteem dat wordt gebruikt op apparaten van de Chinese Original Equipment Manufacturer (OEM).
“De malware bevat ook logica om specifieke apparaten te identificeren”, aldus CYFIRMA. “Het verifieert of het apparaat een Google Pixel- of een Samsung-apparaat is en controleert of het model ervan is opgenomen in een vooraf gedefinieerde lijst met herkende of ondersteunde modellen. Hierdoor kan de malware apparaatspecifieke functionaliteit of optimalisaties alleen op gerichte apparaten toepassen, terwijl uitvoering op niet-herkende modellen wordt vermeden.”
De namen van de APK-pakketten die de malware verspreiden, staan hieronder vermeld. Alle drie de apps dragen de naam ‘IdentitasKependudukanDigital.apk’, wat waarschijnlijk een poging lijkt te zijn om zich voor te doen als een legitieme app van de Indonesische overheid genaamd ‘Identitas Kependudukan Digital’.
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
Eenmaal geïnstalleerd, zijn de kwaadaardige apps ontworpen om apparaatinformatie te verzamelen en het volume van verschillende audiostreams, zoals muziek, beltoon en meldingen, op nul te zetten om te voorkomen dat het getroffen slachtoffer wordt gewaarschuwd voor inkomende oproepen, berichten en andere in-app-meldingen.
Het brengt ook communicatie tot stand met een externe server (“ping.ynrkone(.)top”), en bij ontvangst van het commando “OPEN_ACCESSIBILITY” spoort het de gebruiker aan om toegankelijkheidsdiensten in te schakelen om zijn doelen te realiseren, waaronder het verkrijgen van verhoogde rechten en het uitvoeren van kwaadaardige acties.
De malware kan zich echter alleen richten op Android-apparaten met versie 13 en lager, aangezien Android 14, dat eind 2023 werd gelanceerd, een nieuwe beveiligingsfunctie introduceerde die het gebruik van toegankelijkheidsservices verhindert om app automatisch aanvullende toestemmingen te vragen of te verlenen.
“Tot Android 13 konden apps toestemmingsverzoeken omzeilen via toegankelijkheidsfuncties; met Android 14 is dit gedrag echter niet langer mogelijk en moeten gebruikers rechtstreeks toestemming verlenen via de systeeminterface”, aldus CYFIRMA.
BankBot-YNRK maakt gebruik van de JobScheduler-service van Android om persistentie op het apparaat tot stand te brengen en ervoor te zorgen dat het wordt gestart na een herstart. Het ondersteunt ook een breed scala aan opdrachten om apparaatbeheerdersrechten te verkrijgen, apps te beheren, met het apparaat te communiceren, inkomende oproepen door te sturen met behulp van MMI-codes, foto’s te maken, bestandsbewerkingen uit te voeren en contacten, sms-berichten, locaties, lijsten met geïnstalleerde apps en klembordinhoud te verzamelen.
Enkele van de andere kenmerken van de malware zijn als volgt:
- Zich voordoen als Google Nieuws door de naam en pictogrammen van de apps programmatisch te vervangen, en door “news.google(.)com” te starten via een WebView
- Leg scherminhoud vast om een ‘skelet-UI’ van applicatieschermen zoals bank-apps te reconstrueren om diefstal van inloggegevens te vergemakkelijken
- Het misbruiken van toegankelijkheidsdiensten om cryptocurrency-portemonnee-apps te openen vanuit een vooraf gedefinieerde lijst en het automatiseren van UI-acties om gevoelige gegevens te verzamelen en ongeautoriseerde transacties te initiëren
- Er wordt een lijst opgehaald van 62 financiële apps die u wilt targeten
- Het weergeven van een overlay-bericht waarin wordt beweerd dat hun persoonlijke gegevens worden geverifieerd, terwijl de kwaadaardige acties worden uitgevoerd, inclusief het aanvragen van extra machtigingen en het toevoegen van zichzelf als apparaatbeheerder-app
“BankBot-YNRK beschikt over een uitgebreide functieset gericht op het behouden van toegang op lange termijn, het stelen van financiële gegevens en het uitvoeren van frauduleuze transacties op gecompromitteerde Android-apparaten”, aldus CYFIRMA.
De onthulling komt op het moment dat F6 onthulde dat bedreigingsactoren een bijgewerkte versie van DeliveryRAT verspreiden, gericht op eigenaren van Russische Android-apparaten, onder het mom van voedselbezorgdiensten, marktplaatsen, bankdiensten en applicaties voor het volgen van pakketten. Er wordt geschat dat de mobiele dreiging sinds medio 2024 actief is.
Volgens het Russische cyberbeveiligingsbedrijf wordt de malware geadverteerd onder een Malware-as-a-Service (MaaS)-model via een Telegram-bot genaamd Bonvi Team, waardoor gebruikers toegang kunnen krijgen tot een APK-bestand of links naar phishing-pagina’s die de malware verspreiden.
Slachtoffers worden vervolgens benaderd via berichtenapps zoals Telegram, waar hen wordt gevraagd de kwaadaardige app te downloaden als onderdeel van het volgen van bestellingen van nepmarktplaatsen of voor een baan op afstand. Ongeacht de gebruikte methode vraagt de app toegang tot meldingen en batterij-optimalisatie-instellingen, zodat deze gevoelige gegevens kan verzamelen en op de achtergrond kan draaien zonder te worden beëindigd.
Bovendien bieden de frauduleuze apps mogelijkheden om toegang te krijgen tot sms-berichten en oproeplogboeken, en om hun eigen pictogrammen te verbergen voor het startscherm, waardoor het voor een minder technisch onderlegde gebruiker moeilijk wordt om deze van het apparaat te verwijderen.
Sommige iteraties van de DeliveryRAT zijn ook uitgerust om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren door gelijktijdige verzoeken te doen aan de URL-link die wordt verzonden vanaf de externe server en activiteiten te starten om vast te leggen door gelijktijdige verzoeken te doen aan de verzonden URL-link of door de gebruiker te misleiden om een QR-code te scannen.
De ontdekking van de twee Android-malwarefamilies valt samen met een rapport van Zimperium, dat sinds april 2024 meer dan 760 Android-apps ontdekte die Near Field Communication (NFC) misbruiken om op illegale wijze betalingsgegevens te verkrijgen en naar een externe aanvaller te sturen.
Deze nep-apps, die zich voordoen als financiële applicaties, vragen gebruikers om deze in te stellen als hun standaardbetaalmethode, terwijl ze profiteren van de hostgebaseerde kaartemulatie (HCE) van Android om contactloze creditcard- en betalingsgegevens te stelen.
De informatie wordt doorgegeven aan een Telegram-kanaal of een speciale tapper-app die wordt beheerd door de bedreigingsactoren. De gestolen NFC-gegevens worden vervolgens gebruikt om vrijwel onmiddellijk geld van de accounts van een gebruiker op te nemen of aankopen te doen bij point-of-sale (PoS)-terminals.
“Ongeveer twintig instellingen zijn nagebootst – voornamelijk Russische banken en financiële diensten, maar ook organisaties in Brazilië, Polen, Tsjechië en Slowakije”, aldus het mobiele beveiligingsbedrijf.
