Serangkaian aplikasi perbankan palsu membuat putaran di India, meniru lembaga tepercaya untuk mencuri kredensial dan, pada akhirnya, uang.
Skala kampanye sangat mengesankan, menampilkan hampir 900 sampel malware berbeda yang diikat dengan sekitar 1.000 nomor telepon yang berbeda yang digunakan untuk melakukan penipuan. Para peneliti dari Zimperium mengamati semua malware yang ditulis dalam aplikasi yang meniru lembaga keuangan miliaran dolar, yang dirancang untuk menargetkan orang-orang reguler di seluruh India.
Penipuan Perbankan di India Timur
Di seluruh India, orang -orang biasa telah menerima pesan WhatsApp yang membawa file kit paket android berbahaya (APK). Setelah diunduh, apks ini dibuka menjadi aplikasi palsu yang meniru salah satu dari lebih dari selusin bank, termasuk sebagian besar yang terbesar di India: HDFC Bank, ICICI Bank, State Bank of India (SBL), dan lainnya.
Sumber: Zimperium
Aplikasi meminta korban untuk mengirimkan informasi keuangan mereka yang paling sensitif, termasuk kredensial mobile banking, nomor kartu kredit dan debit, pin ATM, kartu nomor rekening permanen (PAN) – yang digunakan untuk berbagai tujuan keuangan dan pemerintah, seperti membayar pajak atau membuka bank bank Akun – dan kartu Aadhar, dan setara dengan nomor Jaminan Sosial (SSN).
Untuk memungkinkan penyerang masuk ke rekening bank korban, malware mencegat kata sandi satu kali yang dikirim melalui SMS, dan mengarahkan mereka ke nomor telepon yang dikendalikan oleh penyerang, atau server perintah-dan-kontrol (C2) yang berjalan di Firebase.
Malware juga menggunakan langkah-langkah siluman dan anti-analisis, seperti “pengemasan,” di mana malware dikompresi, dienkripsi, dan dikaburkan sampai titik tidak terbiasa. Ini dapat menginstal dirinya dengan tidak terlihat dengan memanfaatkan layanan aksesibilitas, dan mendapatkan semua izin yang mungkin pada perangkat pengguna dengan hanya mendorong pengguna untuk memukul “Izinkan” ketika diminta dengan baik.
“Karena Anda tidak melihat aplikasinya, tidak mudah untuk menghapusnya,” jelas Nico Chiaraviglio, Kepala Ilmuwan di Zimperium. “Dan kemudian kamu [have to deal with the] izin yang lebih tinggi. Jadi, jika Anda ingin menghapus aplikasi, perangkat akan mengatakan Anda tidak dapat menginstalnya karena ini adalah aplikasi sistem. Anda pada dasarnya perlu menghubungkan ponsel ke komputer dan menghapus instalannya menggunakan Android Debug Bridge (ADB). Ini bukan sesuatu yang dapat Anda lakukan dari sudut pandang pengguna biasa. “
Mengapa Penipuan Bekerja Di India
Nomor telepon yang terikat pada kampanye dengan penuh kasih bernama “Fatboypanel” cenderung berkonsentrasi di negara bagian timur: Benggala Barat (30,2%), Bihar (22,6%), Jharkjand (10%).
Fatboypanel itu tampaknya berjalan dengan baik, menurut Chiaraviglio, turun ke beberapa faktor yang jelas. Pertama: Ponsel yang lebih tua dan usang adalah umum di India Timur, dan, “Jika Anda ingin menjalankan semacam eksploitasi, itu lebih mudah dilakukan pada perangkat yang lebih tua,” katanya.
“Juga diketahui bahwa ada banyak scammer di India,” tambahnya. Dalam kampanye ini, “Mereka menargetkan beberapa aplikasi tertentu, dan ini pada dasarnya memberi tahu Anda bahwa para penyerang adalah orang India, dan bahwa mereka tahu pasar tempat mereka bekerja.”
Satu hal yang mengejutkannya, dia berkata: “Kami menerbitkan laporan setiap tahun tentang Trojan perbankan, dan kami melihat sebagian besar dari mereka menargetkan banyak negara pada saat yang sama. Sangat jarang kami melihat kampanye yang hanya menargetkan satu negara.”
