🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
BFSIRegião: ÍndiaFonte*: A2
Sumário executivo
CloudSEKA equipe de pesquisa de ameaças ao cliente da descobriu uma amostra de malware na natureza (ITW) que tinha como alvo os clientes dos bancos indianos.
Analisando o uso do APK CloudSEKé o mecanismo de busca de segurança para aplicativos móveis Seja Vigil descobrimos o código-fonte, a funcionalidade interna do malware, as permissões usadas e os terminais de URL com os quais o malware estava se comunicando.Entrega:
O malware foi entregue ao enviar um formulário que solicitou informações como nome, número de celular e endereço de e-mail.O que é exfiltrado?
Analisando o arquivo APK, descobrimos que o malware é capaz de roubar informações de cartões de crédito/débito, senhas bancárias e SMS para ler/enviar senhas geradas uma vez em nome da vítima.
Nota: Acreditamos que seja uma atividade contínua, pois várias amostras direcionadas a bancos proeminentes da Índia foram descobertas nos últimos 3 meses.
Informações da análise técnica
O aplicativo malicioso está enganando as vítimas para que forneçam os detalhes do cartão e as senhas do netbanking, atraindo-as usando recompensas financeiras.
O aplicativo malicioso está usando o logotipo oficial dos bancos indianos para fazer com que as vítimas acreditem que o aplicativo é legítimo, o que pode ser usado para resgatar pontos de recompensa.
Permissões do dispositivo
O aplicativo requer várias permissões ao ser instalado em um dispositivo Android. Muitas dessas permissões são classificadas na categoria de permissões perigosas.
Essas permissões perigosas incluem permissão para ler os registros de chamadas do dispositivo, ler contatos, ler SMS, receber SMS, obter e autenticar contas.
Essas permissões permitem que o malware roube informações confidenciais do dispositivo da vítima, leia e receba SMS, obtenha informações sobre as contas que estão sendo usadas no dispositivo, use essas contas para autenticação e até mesmo crie novas contas.
Mecanismo de persistência
O aplicativo usa filtros de intenção com alta prioridade para saber sobre a reinicialização do dispositivo e manter a persistência.
O 999 de alta prioridade permite que o malware saiba sobre a alteração de inicialização assim que houver alguma alteração. Isso permite que o malware reinicie seu receptor de transmissão para receber qualquer tipo de transmissão enviada pelo sistema operacional do dispositivo ou por outros aplicativos.
Exfiltração de dados
O código-fonte do APK está presente em https://bevigil.com/src/in.kotak.rewards/source%2Fsources%2Fin%2Fkotak%2Frewards%2FAutoStartService.java
O malware está exfiltrando todos os registros de SMS e chamadas do dispositivo da vítima para o servidor C2.
É importante observar que todos os dados extraídos estão sendo criptografados antes de serem enviados ao servidor C2.
Chave de criptografia usada para criptografia
Comando e controle
Com base na análise estática do código do malware, podemos dizer que o malware não está apenas roubando dados, mas também pode ser usado para executar comandos enviados pelo Threat Actor.
Esses comandos podem ser enviados pelo invasor ao dispositivo da vítima para fazer com que o malware execute determinadas ações, como enviar SMS, registros de chamadas para o C2 e até mesmo colocar o dispositivo no Modo Silencioso.
Como o malware obtém permissão do gerenciador de áudio durante a instalação, colocar a vítima no modo silencioso é feito pouco antes de o Threat Actor tentar usar o cartão de crédito da vítima para fazer qualquer compra ou transação para que a vítima não perceba o OTP do SMS relacionado à transação.
Depois que o SMS é enviado para o C2, o malware também pode excluir o SMS, para que as vítimas não consigam encontrar o SMS sempre que verificarem seus telefones.
