Drinik Android trojan, ülke tarafından vergi ödemelerini yönetmek için kullanılan uygulama gibi görünen 18 Hint bankasını hedeflemek için yeni bir sürüm kullanıyor. Bu suçluların temel amacı, kurbanlarından kişisel ve banka hesap bilgilerini çalmak.
Drinik olarak bilinen kötü amaçlı yazılım, 2016’dan beri haberlerde yer alıyor ve nispeten eski bir kötü amaçlı yazılım. Bu kötü amaçlı yazılımın bir sonucu olarak, Hindistan hükümeti daha önce Android kullanıcılarına, çalınan bilgilerin gelir vergisi iadeleri oluşturmak için kullanılma olasılığı konusunda bir uyarı yayınlamıştı.
Şu anda Drinik uygulaması, Android için iAssist uygulamasına entegre edilmiş bir APK dosyası olarak mevcuttur. Son birkaç yıldır Cyble Research & Intelligence Labs tarafından Drinik Android kötü amaçlı yazılımının farklı türevlerinin sürekli izlenmesi gerçekleştirilmiştir.
Bu kötü amaçlı yazılım varyantı durumunda, IP 198’de barındırılan bir Komuta ve Kontrol (C&C) sunucusuyla iletişim kurar.[.]12[.]107.13. Önceki kampanya, komuta ve kontrol iletişimi için aynı IP adresini kullanmıştı; bu, her iki kampanyanın da arkasında aynı Tehdit Aktörünün (TA) olduğunu gösteriyor.
Drinik’in Evrimi
CRIL, bu kötü amaçlı yazılımın geçen yıldan bu yana 3 farklı varyantı olduğunu gözlemledi. Eylül 2021’de, kimlik avı sayfalarını kullanarak kimlik bilgilerini çalmak için kullanılan ilk kötü amaçlı yazılım türü ortaya çıktı.
Virüsün 2022 yılı boyunca, ekran etkinliğini kaydetme ve tuş vuruşlarını kaydetme yeteneğini içeren vahşi doğada iki yeni varyantı keşfedildi.
Ancak, kötü amaçlı yazılımın yeni varyantı farklı özelliklere sahiptir ve bu nedenle aşağıdaki listedeki tüm unsurlardan bahsettik:-
- tuş günlüğü
- Erişilebilirliği Kötüye Kullanır
- Kimlik bilgilerini toplamak için bir kimlik avı sayfası kullanılıyor
- Yük APK’sı indirildi
- Virüslü cihazdan SMS gönderir
- Gelen SMS’leri çal
- bindirme saldırı
- Ekran kaydı
- FirebaseCloudMessaging aracılığıyla komut alma
Kullanıcı Verilerini Çalmak
En son sürümünde, kötü amaçlı yazılım, Hindistan Gelir Vergisi Departmanı’nın resmi vergi yönetim aracı olduğu iddia edilen ‘iAssist’ adlı bir APK olarak görünür.
Uygulama yüklendiğinde, kullanıcının SMS’ine, arama kaydına ve harici depolama cihazlarına erişim isteyecektir. Bunun dışında SMS almak, okumak ve göndermek için de izin talebinde bulunulacaktır.
Bir sonraki adım, kullanıcıya Erişilebilirlik Hizmetini kullanmak için uygulamaya izin vermek isteyip istemediğini sormaktır. İzin verildikten sonra, aşağıdaki görevleri gerçekleştirmek için Google Play Protect’i kullanır:-
- Gezinme hareketleri
- Ekranı kaydet
- Tuş vuruşlarını yakalayın
Uygulamanın sonunda, gerçek Hindistan gelir vergisi web sitesi, kimlik avı sayfaları yerine WebView aracılığıyla yüklenecek; uygulama, ekran kayıtları ve tuş günlüğü aracılığıyla kullanıcı kimlik bilgilerini çalacak şekilde ayarlanacaktır.
APK Meta Veri Bilgileri
- Uygulama Adı: iAssist
- Paket Adı: lincoln.auy.iAssist
- SHA256 Karma: 86acaac2a95d0b7ebf60e56bca3ce400ef2f9080dbc463d6b408314c265cb523
Bankalar hedef alındı
Drinik, Erişilebilirlik Hizmetini kullanarak, saldırı süreçlerini kolayca uygulayabilmeleri için hedeflenen bankacılık uygulamalarıyla ilgili olayları sürekli olarak takip eder.
22.000 aktif şubeden oluşan devasa bir ağla günde 450.000.000’den fazla kişiye hizmet veren bir banka olan SBI (Hindistan Devlet Bankası) dahil olmak üzere birçok banka hedefleniyor.
Kötü amaçlı yazılım, kullanıcılardan toplanan tuş vuruşu verilerini kullanarak, herhangi bir eşleşme bulursa bu kullanıcının kimlik bilgilerini bir C2 sunucusuna göndermek için kullanmaya çalışır.
Öneriler
Siber güvenlik uzmanları bazı azaltıcı önlemler önerdiler, biz de bunları aşağıda listeledik:-
- Yazılım yalnızca resmi uygulama mağazalarından indirilmeli ve kurulmalıdır.
- Güvenilmeyen kaynakların kart bilgilerinize, CVV numaranıza, kart PIN’inize veya Net Bankacılığı kimlik bilgilerinize asla erişimi olmamalıdır.
- Saygın bir antivirüs kullandığınızdan emin olun.
- Mümkün olan her yerde çok faktörlü kimlik doğrulama uygulanmalıdır.
- Her zaman güçlü ve benzersiz şifreler kullanın.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap