Мобильный банкер Riltok адаптировали для европейского «рынка»

Рекомендуем почитать:

Xakep #243. Лови сигнал

• Содержание выпуска
• Подписка на «Хакер»

Специалисты «Лаборатории Касперского» рассказали о банковском трояне Riltok. Первые представители этого семейства малвари были замечены еще в марте 2018 года.

Изначально данный банкер предназначался для «работы» с российской аудиторией. Малварь маскировалась под приложения популярных в России сервисов бесплатных объявлений. Распространялись такие подделки с помощью рассылки SMS-сообщений с зараженных устройств. Формат сообщений выглядел так: «%USERNAME%, куплю по безопасной сделке. youlabuy[.]ru/7*****3» или «%USERNAME%, примите 25 000 на Юле youla-protect[.]ru/4*****7». Как не трудно понять, сообщения содержали ссылку на загрузку трояна. Также были замечены экземпляры малвари, выдающие себя за клиента популярного сервиса по поиску авиабилетов или магазин приложений для Android.

Уже в конце 2018 года Riltok вышел на международную арену. Способы маскировки и распространения злоумышленники оставили прежними — иконка и название приложения имитируют популярные сервисы бесплатных объявлений.

В ноябре 2018 года появилась версия троянца для английского рынка — Gumtree.apk. SMS со ссылками на банкер имели следующий вид: «%USERNAME%, i send you prepayment gumtree[.]cc/3*****1».

В январе 2019 года появились итальянская (Subito.apk) и французская (Leboncoin.apk) версии. Их рассылки выглядели следующим образом:

• «%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5» (ит.)
• «% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7» (ит.)
• «%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7*****3» (фр.)
• «%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8*****9» (фр.)

Получив такое SMS-сообщение с вредоносной ссылкой, пользователь попадает на поддельный сайт, который имитирует популярные сервисы бесплатных объявлений. Там жертве предлагают скачать новую версию мобильного приложения, под видом которой и скрывается троян. Для его установки жертве необходимо в настройках устройства разрешить установку приложений из неизвестных источников. А во время установки Riltok запрашивает у пользователя разрешение на использование службы специальных возможностей AccessibilityService, показывая поддельное предупреждение.

Если пользователь игнорирует или отклоняет запрос, окно будет открываться снова и снова. После получения необходимых прав троян назначает себя приложением для SMS по умолчанию (самостоятельно нажимая на «YES» с помощью службы AccessibilityService) и пропадает с экрана устройства и связывается с управляющим сервером.

В более поздних версиях малварь также при старте открывает в браузере фишинговый сайт, имитирующий сервис бесплатных объявлений, чтобы пользователь «авторизовался» там, введя данные своего аккаунта, а также данные о своей банковской карте. Введенные данные отправляются злоумышленникам.

Riltok активно общается со своим командным сервером. Первым делом он регистрирует зараженное устройство в административной панели, отправляя GET-запрос на относительный адрес gate.php(в поздних версиях — gating.php) с параметрами ID (идентификатор устройства, генерируемый функцией setPsuedoID псевдослучайным образом на основе IMEI устройства) и screen (активно ли устройство, возможные значения: on, off, none).

Затем с помощью POST-запросов на относительный адрес report.php он отправляет данные об устройстве (IMEI, номер телефона, страну, сотового оператора, модель телефона, наличие root-прав, версию ОС), список контактов, список установленных приложений, входящие SMS и прочую информацию. От сервера троян получает команды (например, на рассылку SMS) и изменения в конфигурации.

Имя Riltok семейство получило от названия входящей в APK-файл троянца библиотеки librealtalk-jni.so. В библиотеку вынесены такие операции, как:

• получение адреса командного сервера злоумышленников (C&C);
• получение конфигурационного файла с веб-инжектами от C&C, а также список инжектов по умолчанию;
• проверка наличия имен пакетов приложений, породивших события AccessibilityEvent, в списке известных банковских/антивирусных/прочих популярных приложений;
• назначение себя SMS-приложением по умолчанию;
• получение адреса фишинговой страницы, которая открывается при запуске приложения, и другие.

В конфигурационном файле находится список инжектов для мобильных приложений банков — ссылки на фишинговые страницы, соответствующие используемому пользователем мобильному банковскому приложению. В большинстве западных версий трояна имена пакетов в конфигурационном файле по умолчанию «затерты».

С помощью службы AccessibilityService малварь отслеживает события AccessibilityEvent. В зависимости от того, какое приложение (имя пакета) породило событие, Riltok может:

• открыть поддельный экран Google Play, запрашивающий данные банковской карты;
• открыть поддельный экран или фишинговую страницу в браузере (инжект), имитирующие экран соответствующего мобильного банковского приложения и запрашивающие данные пользователя и банковской карты;
• свернуть приложение (например, антивирусные приложения или настройки безопасности устройства).

Кроме того, троян умеет также скрывать уведомления от определенных банковских приложений.

При вводе данных банковской карты в поддельном окне Riltok осуществляет базовые проверки их корректности: срок действия карты, контрольная сумма ее номера, длина CVC, а также наличие номера в черном списке, зашитом в коде трояна.

Функциональность большинства западных версий Riltok на данный момент несколько урезана по сравнению с российской: например, дефолтный конфигурационный файл с инжектами нерабочий, а кроме этого, зловред не содержит встроенных поддельных окон с запросом данных банковской карты.

Источник