MalRhino Android Banking Trojan actief in Latijns-Amerika
De MalRhino Android Banking Trojan is een project dat enkele overeenkomsten vertoont met PixStealer. Het streeft echter een breder scala aan doelen na en bevat een groter aantal functies. Hoewel beide bedreigingen gericht zijn op gelddiefstal, is MalRhino zeker de meer functionele en veelzijdige variant. Dit maakt het echter ook vatbaarder om gemakkelijk te worden gepakt door anti-malwareservices.
Een van de versies van de MalRhino Android Banking Trojan gaat achter de Braziliaanse Inter Bank aan. Het imiteert een legitieme app die de klanten van deze bank gebruiken, iToken. De nepversie werd gehost in de Google Play Store, evenals in andere app-winkels. Gebruikers werden meestal naar de downloadpagina geleid via phishing, nepadvertenties en andere dubieuze strategieën. Eenmaal geïnstalleerd, vraagt de nep-iToken-app zijn potentiële slachtoffer om het toegang te verlenen tot de toegankelijkheidsservices van Android.
MalRhino-aanvallers gaan achter klanten van zes banken aan
In tegenstelling tot de offline modus van PixStealer, communiceert de MalRhino Android Banking Trojan met een afstandsbedieningsserver. Bij de lancering verzendt het informatie over het apparaat van het slachtoffer en scant het vervolgens op gegevens met betrekking tot verschillende bank-apps die populair zijn in Brazilië:
- interbancair
- Nubank
- Volgende
- Santander
- Banco Origineel
- UOL PagBank
Het MalRhino-implantaat blijft op de achtergrond werken en wacht tot het slachtoffer een van de ondersteunde bank-apps laadt. Wanneer dit gebeurt, voert de Trojan een overlay-aanval uit, die door de aanvallers kan worden verfijnd. Dit stelt hen in staat om frauduleuze overschrijvingen uit te voeren met de hulp van het slachtoffer, of om allerlei informatie op te vragen, zoals logins, 2FA, pincodes en meer.
Dezelfde bende zit waarschijnlijk achter PixStealer en de MalRhino Trojan. Tot nu toe zijn hun activiteiten beperkt tot Brazilië, maar in de nabije toekomst kunnen ze zich richten op andere delen van Latijns-Amerika. Meestal verlaten deze Latijns-Amerikaanse banktrojanen de regio zelden, maar er is altijd een kans dat dit gebeurt. Android-gebruikers kunnen hun apparaten beschermen tegen deze malwarefamilies in het bankwezen door gebruik te maken van eersteklas Android-antivirus-apps.