Drinik Android Banking-Trojaner

Das Indian Computer Emergency Response Team (CERT-In) warnt indische Einwohner vor einer aktiven Angriffskampagne, die eine Android-Malware-Bedrohung namens Drinik einsetzt. Das Ziel des Bedrohungsakteurs ist es, sensible persönliche Informationen von den kompromittierten Android-Geräten zu erhalten, indem er die Opfer mit Versprechen auf Einkommensteuerrückerstattung lockt.

Drinik ist keine neue Bedrohung, da sie bereits 2016 eingesetzt wurde. Damals beschränkte sich die Funktionalität der Bedrohung meist auf die eines einfachen SMS-Stealers. Laut CERT-In weisen die aktuellen Versionen jedoch einen hohen Entwicklungs- und Verbesserungsgrad auf. Die Angreifer setzen Drinik nun als Banking-Trojaner ein, um neben anderen persönlichen Daten der Opfer auch Bank- und Finanzdaten zu sammeln.

Die Angriffskette

Die aktuelle Angriffsoperation beginnt damit, dass der Bedrohungsakteur Links per SMS an ahnungslose Benutzer sendet. Beim Anklicken führt der Link zu einer Phishing-Website, die die offizielle Seite des indischen Einkommensteueramts eng nachahmen soll. Die gefälschte Website fragt nach persönlichen Informationen über den Benutzer, bevor eine beschädigte Anwendung auf das Gerät heruntergeladen wird. Die Anwendung trägt die Drinik-Malware.

Die Anwendung verhält sich ähnlich wie die legitime Version des Softwareprodukts, die von der Einkommensteuerbehörde veröffentlicht wurde, um Benutzern bei der Generierung ihrer Steuerrückerstattungen zu helfen. Die gefälschte Anwendung fragt nach verschiedenen Berechtigungen, z. B. um Zugriff auf SMS-Nachrichten, Anrufprotokolle und Kontakte zu erhalten.

Driniks bedrohliche Funktionalität

Nach Erhalt der erforderlichen Berechtigungen zeigt der gefälschte Antrag ein Antragsformular für die Rückerstattung an. Darin werden die Benutzer aufgefordert, zahlreiche persönliche Daten anzugeben - vollständige Namen, PAN, Aadhaar-Nummern, Adresse, Geburtsdatum usw. Die Anwendung hört hier nicht auf. Es fragt auch nach zusätzlichen sensiblen Details, die Kontonummern, die CIF-Nummer, den IFSC-Code, Debitkartennummern, CVV, Ablaufdaten und PIN umfassen können. Die drohende Anwendung gibt vor, dass alle Informationen erforderlich sind, um genaue Steuerrückerstattungen zu generieren, die anschließend direkt auf das Konto des Benutzers überwiesen werden.

Wenn Opfer jedoch auf die Schaltfläche "Übertragen" tippen, werden ihnen eine Fehlermeldung und ein gefälschter Update-Bildschirm angezeigt, während die Drinik-Malware ihre Informationen im Hintergrund mit den Angreifern teilt. Die Cyberkriminellen verwenden dann die persönlichen Daten des Opfers, um einen speziellen Mobile-Banking-Bildschirm zu erstellen, der nach den Mobile-Banking-Anmeldeinformationen des Benutzers fragt. Die Bedrohungsakteure können die gesammelten Daten dann auf verschiedene Weise nutzen, einschließlich Finanzbetrug.