Мобильный троянец Riltok: банкер мирового масштаба

Riltok — одно из множества семейств мобильных банковских троянцев с классическими для подобных зловредов способами распространения и функциональностью. Изначально предназначенный для «работы» с российской аудиторией, банкер был адаптирован (путем минимальных изменений) для европейского «рынка». Основная часть его жертв (больше 90%) приходится на Россию, на втором месте (4%) Франция. Третье место делят Италия, Украина и Великобритания.

География распространения банковского троянца Riltok

Впервые мы обнаружили представителей этого семейства в марте 2018 года. Как и многие другие банкеры, они маскировались под приложения популярных в России сервисов бесплатных объявлений. Распространялись зловреды c помощью рассылки с зараженных устройств SMS вида «%USERNAME%, куплю по безопасной сделке. youlabuy[.]ru/7*****3» или «%USERNAME%, примите 25 000 на Юле youla-protect[.]ru/4*****7», содержащих ссылку на загрузку троянца. Были замечены также и экземпляры, выдающие себя за клиент популярного сервиса по поиску авиабилетов или магазин приложений для Android.

В конце 2018 года Riltok вышел на международную арену. Способы маскировки и распространения злоумышленники оставили прежними — иконка и название приложения имитируют популярные сервисы бесплатных объявлений.

Наиболее часто используемые троянцем иконки: «Авито», «Юла», Gumtree, Leboncoin, Subito

В ноябре 2018 года появилась версия троянца для английского рынка — Gumtree.apk. SMS со ссылками на банкер имели следующий вид: «%USERNAME%, i send you prepayment gumtree[.]cc/3*****1».

В январе 2019 года появились итальянская (Subito.apk) и французская (Leboncoin.apk) версии. Их рассылки выглядели следующим образом:

  • «%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5» (ит.)
  • «% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7» (ит.)
  • «%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7*****3» (фр.)
  • «%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8*****9» (фр.)

Разберем подробнее, как же устроен этот банковский троянец.

Заражение

Пользователь получает SMS с вредоносной ссылкой, ведущей на поддельный сайт, который имитирует популярные сервисы бесплатных объявлений. Там ему предлагают скачать новую версию мобильного приложения, под видом которой и скрывается троянец. Для инсталляции жертве необходимо в настройках устройства разрешить установку приложений из неизвестных источников.

При установке Riltok запрашивает у пользователя разрешение на использование службы специальных возможностей AccessibilityService, показывая поддельное предупреждение:

Если пользователь игнорирует или отклоняет запрос, окно будет открываться снова и снова. После получения прав троянец назначает себя приложением для SMS по умолчанию (самостоятельно нажимая на «YES» с помощью службы AccessibilityService) и пропадает с экрана устройства.

После включения AccessibilityService зловред назначает себя SMS-приложением по умолчанию

После установки и получения от пользователя необходимых разрешений Riltok начинает общение с C&C.

В более поздних версиях троянец также при старте открывает в браузере фишинговый сайт, имитирующий сервис бесплатных объявлений, чтобы пользователь «авторизовался», введя данные своего аккаунта, а также данные о своей банковской карте. Введенные данные отправляются злоумышленникам.

Фишинговая страница из французской версии троянца

Общение с C&C

Riltok активно общается с командным сервером. Первым делом он регистрирует зараженное устройство в административной панели, отправляя GET-запрос на относительный адрес gate.php (в поздних версиях — gating.php) с параметрами ID (идентификатор устройства, генерируемый функцией setPsuedoID псевдослучайным образом на основе IMEI устройства) и screen (активно ли устройство, возможные значения: on, off, none):

Затем с помощью POST-запросов на относительный адрес report.php он отправляет данные об устройстве (IMEI, номер телефона, страну, сотового оператора, модель телефона, наличие root-прав, версию ОС), список контактов, список установленных приложений, входящие SMS и прочую информацию. От сервера троянец получает команды (например, на рассылку SMS) и изменения в конфигурации.

Устройство троянца

Имя Riltok семейство получило от названия входящей в APK-файл троянца библиотеки librealtalk-jni.so. В библиотеку вынесены такие операции, как:

  • получение адреса командного сервера злоумышленников (C&C);
  • получение конфигурационного файла с веб-инжектами от C&C, а также список инжектов по умолчанию;
  • проверка наличия имен пакетов приложений, породивших события AccessibilityEvent, в списке известных банковских/антивирусных/прочих популярных приложений;
  • назначение себя SMS-приложением по умолчанию;
  • получение адреса фишинговой страницы, которая открывается при запуске приложения, и другие.

Функция getStartWebUrl — получение адреса фишинговой страницы

В конфигурационном файле находится список инжектов для мобильных приложений банков — ссылки на фишинговые страницы, соответствующие используемому пользователем мобильному банковскому приложению. В большинстве западных версий троянца имена пакетов в конфигурационном файле по умолчанию «затерты».

Пример конфигурационного файла троянца

С помощью службы AccessibilityService зловред отслеживает события AccessibilityEvent. В зависимости от того, какое приложение (имя пакета) породило событие, Riltok может:

  • открыть поддельный экран Google Play, запрашивающий данные банковской карты;
  • открыть поддельный экран или фишинговую страницу в браузере (инжект), имитирующие экран соответствующего мобильного банковского приложения и запрашивающие данные пользователя и банковской карты;
  • свернуть приложение (например, антивирусные приложения или настройки безопасности устройства).

Троянец умеет также скрывать уведомления от определенных банковских приложений.

Список имен пакетов приложений, при событиях от которых троянец открывает поддельное окно Google Play (для российской версии троянца)

Пример экрана троянца, перекрывающего другие приложения

При вводе данных банковской карты в поддельном окне Riltok осуществляет базовые проверки их корректности: срок действия карты, контрольная сумма ее номера, длина CVC, а также наличие номера в черном списке, зашитом в коде троянца:

Примеры фишинговых страниц мобильных банков

Функциональность большинства западных версий Riltok на момент написания статьи несколько урезана по сравнению с российской: например, дефолтный конфигурационный файл с инжектами нерабочий, а кроме этого, зловред не содержит встроенных поддельных окон с запросом данных банковской карты.

Заключение

Угрозу лучше предупредить, чем устранить, поэтому не переходите по подозрительным ссылкам из SMS, устанавливайте приложения из официальных источников и проверяйте, какие права вы даете приложениям при установке. Как показал пример Riltok, одинаковые методы заражения злоумышленники могут более или менее успешно применять к жертвам из разных стран.

Продукты «Лаборатории Касперского» детектируют описанную угрозу с вердиктом Trojan-Banker.AndroidOS.Riltok.

IoCs

C&C

  • 100.51.100.00
  • 108.62.118.131
  • 172.81.134.165
  • 172.86.120.207
  • 185.212.128.152
  • 185.212.128.192
  • 185.61.000.108
  • 185.61.138.108
  • 185.61.138.37
  • 188.209.52.101
  • 5.206.225.57
  • alr992.date
  • avito-app.pw
  • backfround2.pw
  • background1.xyz
  • blacksolider93.com
  • blass9g087.com
  • brekelter2.com
  • broplar3hf.xyz
  • buy-youla.ru
  • cd78cg210xy0.com
  • copsoiteess.com
  • farmatefc93.org
  • firstclinsop.com
  • holebrhuhh3.com
  • holebrhuhh45.com
  • karambga3j.net
  • le22999a.pw
  • leboncoin-bk.top
  • leboncoin-buy.pw
  • leboncoin-cz.info
  • leboncoin-f.pw
  • leboncoin-jp.info
  • leboncoin-kp.top
  • leboncoin-ny.info
  • leboncoin-ql.top
  • leboncoin-tr.info
  • myyoula.ru
  • sell-avito.ru
  • sell-youla.ru
  • sentel8ju67.com
  • subito-li.pw
  • subitop.pw
  • web-gumtree.com
  • whitehousejosh.com
  • whitekalgoy3.com
  • youlaprotect.ru

Примеры зловредов

  • 0497b6000a7a23e9e9b97472bc2d3799caf49cbbea1627ad4d87ae6e0b7e2a98
  • 417fc112cd0610cc8c402742b0baab0a086b5c4164230009e11d34fdeee7d3fa
  • 54594edbe9055517da2836199600f682dee07e6b405c6fe4b476627e8d184bfe
  • 6e995d68c724f121d43ec2ff59bc4e536192360afa3beaec5646f01094f0b745
  • bbc268ca63eeb27e424fec1b3976bab550da304de18e29faff94d9057b1fa25a
  • dc3dd9d75120934333496d0a4100252b419ee8fcdab5d74cf343bcb0306c9811
  • e3f77ff093f322e139940b33994c5a57ae010b66668668dc4945142a81bcc049
  • ebd0a8043434edac261cb25b94f417188a5c0d62b5dd4033f156b890d150a4c5
  • f51a27163cb0ddd08caa29d865b9f238848118ba2589626af711330481b352df

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *