Drinik Android 恶意软件现在针对 18 家印度银行的用户-VPS资讯_海外云服务器资讯_海外服务器资讯

新版本的 Drinik Android 木马针对 18 家印度银行，伪装成该国的官方税务管理应用程序，以窃取受害者的个人信息和银行凭证。

自 2016 年以来，Drinik 一直在印度流行，作为短信窃取程序运作，但在 2021 年 9 月，它通过将受害者引导至网络钓鱼页面，添加了针对 27 家金融机构的银行木马功能。

Cyble的分析师一直在跟踪该恶意软件，并报告称其开发人员已将其演变成一个完整的 Android 银行木马，具有屏幕录制、键盘记录、滥用辅助功能服务以及执行覆盖攻击的能力。

从真实站点窃取凭据

最新版本的恶意软件以名为“iAssist”的 APK 形式出现，据称它是印度所得税部门的官方税务管理工具。

安装后，它会请求接收、读取和发送 SMS、读取用户的通话记录以及读取和写入外部存储的权限。

接下来，它请求用户允许应用程序（ab）使用无障碍服务。如果获得批准，它会禁用 Google Play Protect 并使用它来执行导航手势、记录屏幕和捕获按键。

最终，该应用程序通过 WebView 加载实际的印度所得税网站，而不是像过去变种那样的网络钓鱼页面，而是通过记录屏幕和使用键盘记录器来窃取用户凭据。

Drinik 还将检查受害者是否最终访问了指示成功登录的 URL，以确保泄露的详细信息（用户 ID、PAN、AADHAR）是有效的。

在这个阶段，受害者会收到一个虚假的对话框，说税务机构发现他们有资格获得 57,100 卢比（700 美元）的退款，因为之前的税收计算错误，并被邀请点击“申请”按钮来接收。

此操作会将受害者带到一个仿制真实所得税部门网站的网络钓鱼页面，并引导他们输入财务信息，包括帐号、信用卡号、CVV 和卡 PIN。

为针对 18 家银行，Drinik 持续监控无障碍服务以查找与目标银行应用程序相关的事件，例如他们的应用程序。

目标银行包括 SBI（印度国家银行），它是世界上最大的银行之一，通过 22,000 个分支机构的庞大网络为 450,000,000 人提供服务。

如果匹配，恶意软件会收集包含用户凭据的键盘记录数据，并将它们虹吸到 C2 服务器。

在这次攻击中，Drinik 滥用“CallScreeningService”来禁止可能中断登录的来电，进而阻止数据窃取过程。

虽然 Drinik 不像其他银行木马那样复杂或先进，但其作者似乎决心使其更强大，不断添加使其更难检测的功能。

追逐印度纳税人和银行客户意味着 Drinik 拥有庞大的目标池，因此每一项成功的新功能都可能为恶意软件的运营商带来可观的经济收益。

为避免这种威胁，请始终避免从 Play 商店外部下载 APK，并启用生物识别身份验证（例如 2FA）以登录电子银行门户。