BrazKing Android Trojan-aanvallen ongebreideld in Latijns-Amerika
De BrazKing Android-malware is een van de gevaarlijke banktrojanen die uit Latijns-Amerika en in het bijzonder Brazilië komt. Deze dreiging werd maanden geleden voor het eerst gezien en richt zich sindsdien actief op Android-gebruikers in de regio. Het lijkt er echter op dat de operators niet tevreden waren met wat ze al hadden - blijkbaar is er een belangrijke nieuwe variant van de BrazKing Android Banking Trojan geïdentificeerd. De dreiging maakt gebruik van overlay-aanvallen om inloggegevens en codes voor tweefactorauthenticatie (2FA) van de slachtoffers te verzamelen. Volgens beveiligingsexperts is dit waarschijnlijk niet de laatste verandering die BrazKing Android Malware ziet - Latijns-Amerikaanse bedreigingsactoren hebben de neiging om hun payloads regelmatig te verbeteren.
Hoe werkt BrazKing Android-malware?
Eerdere versies van de banking Trojan misbruiken de Android Accessibility Service om de activiteit van de gebruiker te bespioneren. Als de gebruiker de apps of websites opent waarop de criminelen zich richten, zou hij een overlay ophalen van een hardgecodeerde URL die overeenkomt met de gerichte service. De nieuwe versie heeft dit proces echter verbeterd. De malware neemt nu contact op met de server van de aanvaller voor de nieuwste versie van de overlay en toont deze vervolgens op het scherm van de gebruiker. Deze wijziging geeft de aanvallers ook meer controle over de rest van de aanval - het bemachtigen van referenties gebeurt bijvoorbeeld niet automatisch. De criminelen moeten het zelf activeren.
De bovengenoemde maatregelen zijn bedoeld om ervoor te zorgen dat de BrazKing Android Malware niet wordt uitgevoerd in emulators of sandboxen die worden gebruikt voor malware-analyse - de criminelen kunnen de aanval stoppen als ze iets ongewoons detecteren.
Andere BrazKing Android Malware-functies omvatten de mogelijkheid om:
- Registreer toetsaanslagen door de scherminvoer te lezen.
- Maak screenshots van specifieke delen van het scherm.
- SMS-berichten bekijken en nieuwe sms-berichten onderscheppen>
- Haal de lijst met contacten van het slachtoffer op.
Last but not least, de verspreiding van de dreiging lijkt te gebeuren via webgebaseerde oplichting. Er is niet genoeg informatie om te bepalen welke webpagina's deze verspreiden, maar ze zijn waarschijnlijk gerelateerd aan illegale inhoud, valse updates en andere inhoud van lage kwaliteit. De BrazKing Android Malware Pop-Ups sporen gebruikers aan om de beveiliging van hun apparaat te verbeteren door hun systeem bij te werken - de update is echter de BrazKing Android Malware-payload.
Android-gebruikers moeten hun apparaten beschermen tegen dergelijke aanvallen door te allen tijde gerenommeerde antivirus-apps te gebruiken.