Trojan perbankan Android BrazKing telah kembali dengan overlay perbankan dinamis dan trik implementasi baru yang memungkinkannya beroperasi tanpa meminta izin berisiko.
Sampel malware baru dianalisis oleh para peneliti IBM Trusteer yang menemukannya di luar Play Store, di situs di mana orang berakhir setelah menerima pesan smishing (SMS).
Situs HTTPS ini memperingatkan calon korban bahwa mereka menggunakan versi Android yang sudah ketinggalan zaman dan menawarkan APK yang diduga akan memperbaruinya ke versi terbaru.
Hanya meminta izin sekali
Jika pengguna menyetujui “unduhan dari sumber yang tidak dikenal,” malware dijatuhkan pada perangkat dan meminta akses ke ‘Layanan Aksesibilitas’.
Izin ini disalahgunakan untuk menangkap tangkapan layar dan penekanan tombol tanpa meminta izin tambahan yang berisiko menimbulkan kecurigaan.
Lebih khusus lagi, layanan aksesibilitas digunakan oleh BrazKing untuk aktivitas berbahaya berikut:
- Membedah layar secara terprogram alih-alih mengambil tangkapan layar dalam format gambar. Ini dapat dilakukan secara terprogram tetapi pada perangkat yang tidak di-rooting yang akan memerlukan persetujuan eksplisit dari pengguna.
- Kemampuan keylogger dengan membaca tampilan di layar.
- Kemampuan RAT — BrazKing dapat memanipulasi aplikasi perbankan target dengan mengetuk tombol atau memasukkan teks.
- Baca SMS tanpa izin ‘android.permission.READ_SMS’ dengan membaca pesan teks yang muncul di layar. Ini dapat memberi aktor akses ke kode 2FA.
- Baca daftar kontak tanpa izin ‘android.permission.READ_CONTACTS’ dengan membaca kontak di layar “Kontak”.
Mulai android 11, Google telah mengkategorikan daftar aplikasi yang diinstal sebagai informasi sensitif, sehingga setiap malware yang mencoba untuk mengambilnya ditandai oleh Play Protect sebagai berbahaya.
Ini adalah masalah baru bagi semua trojan overlay perbankan yang perlu menentukan aplikasi bank mana yang diinstal pada perangkat yang terinfeksi untuk melayani layar login yang cocok.
BrazKing tidak lagi menggunakan permintaan API ‘getinstalledpackages’ seperti dulu tetapi menggunakan fitur diseksi layar untuk melihat aplikasi apa yang diinstal pada perangkat yang terinfeksi.
Ketika datang ke overlay, BrazKing sekarang melakukannya tanpa izin ‘System_Alert_Window’, sehingga tidak dapat melapisi layar palsu di atas aplikasi asli seperti trojan lainnya.
Sebaliknya, itu memuat layar palsu sebagai URL dari server penyerang di jendela tampilan web, ditambahkan dari dalam layanan aksesibilitas. Ini mencakup aplikasi dan semua jendelanya tetapi tidak memaksa keluar darinya.
Saat mendeteksi login ke bank online, alih-alih menampilkan overlay built-in, malware sekarang akan terhubung ke server perintah dan kontrol untuk menerima overlay login yang benar untuk ditampilkan.
Sistem overlay dinamis ini memudahkan aktor ancaman untuk mencuri kredensial untuk berbagai bank yang lebih luas. Melayani overlay dari server penyerang juga memungkinkan mereka untuk memperbarui layar login yang diperlukan bertepatan dengan perubahan pada aplikasi atau situs perbankan yang sah atau menambahkan dukungan untuk bank baru.
Ketidakjelasan dan resistensi terhadap penghapusan
Versi baru BrazKing melindungi sumber daya internal dengan menerapkan operasi XOR menggunakan kunci hardcoded dan kemudian juga mengkodekannya dengan Base64.
Analis dapat dengan cepat membalikkan langkah-langkah ini, tetapi mereka masih membantu malware tidak diketahui ketika bersarang di perangkat korban.
Jika pengguna mencoba menghapus malware, dengan cepat mengetuk tombol ‘Kembali’ atau ‘Home’ untuk mencegah tindakan tersebut.
Trik yang sama digunakan ketika pengguna mencoba membuka aplikasi antivirus, berharap untuk memindai dan menghapus malware dalam alat keamanan.
Evolusi BrazKing menunjukkan bahwa penulis malware dengan cepat beradaptasi untuk memberikan versi tersembunyi dari alat mereka karena keamanan Android semakin ketat.
Kemampuan untuk merebut kode 2FA, kredensial, dan mengambil tangkapan layar tanpa menimbun izin membuat trojan jauh lebih kuat daripada dulu, jadi berhati-hatilah dengan unduhan APK di luar Play Store.
Menurut laporan IBM, BrazKing tampaknya dioperasikan oleh kelompok ancaman lokal, seperti yang beredar di situs web berbahasa Portugis.
Sumber: Bleepingcomputer
