2min

Tags in dit artikel

, ,

Er is een nieuw lid van de GPlayed Trojan ontdekt. De malware is ontworpen om klanten van een Russische staatsbank aan te vallen. Onderzoekers van Cisco Talos ontdekten de malware.

De onderzoekers onthulden eerder deze maand GPlayed, een “extreem krachtige” trojan die zich voordoet als een Google-dienst als het Android-apparaten infecteert. De onderzoekers dachten toen dat de malware nog in ontwikkeling was, maar dit deed niets af van het feit dat de trojan ontzettend flexibel, gebruikmaakte van verduistering en sterke vernietigings- en datadiefstalmogelijkheden had.

Nu blijkt dat GPlayed niet het enige lid is van de nieuwe Trojan-familie. Maandag liet Talos weten dat de “jongere broer” van de malware ook ontdekt is. Deze versie wordt GPlayed Banking genoemd, en is een banking trojan gebouwd met een specifieke rol. De malware moet klanten van de Russische staatsbank Sberbank aanvallen als zij de digitale AutoPay-betalingsdienst gebruiken.

Werking

De malware lijkt te zijn verspreid via phishing-campagnes en repositories van apps van derde partijen, op eenzelfde manier als GPlayed. De mogelijkheden van GPlayed Banking zijn niet zo uitgebreid als die van zijn voorganger, maar de malware kan wel data van een apparaat halen en versturen naar de command-and-control-server van de maker sturen.

De malware is in .NET geschreven op dezelfde manier als GPlayed en doet zich ook voor als een Google-dienst op Android. Er wordt malafide code geïmplementeerd in een DLL genaamd PlayMarket.ddl, die vervolgens machtigingen krijgt tot onder meer BIND_DEVICE_ADMIN. Daarmee krijgt de aanvaller vrijwel volledige controle over een apparaat.

Als de malware uitgevoerd wordt op een kwetsbaar apparaat, begint de trojan wijzigingen in de instellingen van de gebruiker aan te vragen, met als doel om privileges te laten escaleren. Mocht een slachtoffer toestemmingsverzoeken afwijzen, dan blijven ze iedere vijf seconden opnieuw verschijnen. Volgens Talos kan de malware ook het scherm van een apparaat vergrendelen, maar dat wordt nu nog niet gedaan.

Transactie

Daarna opent de malware een WebView screen overlay en stuurt een SMS-bericht naar Sberbank AutoPay met het woord “balans” in het Russisch. Is het slachtoffer een klant, reageert de dienst en staat er meer op de rekening dan 3.000, dan onderneemt de trojan actie. De malware zal een waarde van 66.000 vragen indien er meer dan 68.000 is. Anders wordt de beschikbare waarde minus 1.000 opgevraagd.

Vervolgens wordt er een nieuw WebView-object gemaakt, om dit bedrag op te vragen. Staat er minder dan 3.000 dollar op de rekening, dan doet de malware niets.

Om de transactie te voltooien, heeft de malware een validatiecode nodig. GPlayed Banking bekijkt ieder binnenkomend bericht met het woord “wachtwoord” in het Russisch, waarna het de tekst kopieert en in het WebView-object injecteert.