Drinik Android Banking Trojan

El Equipo Indio de Respuesta a Emergencias Informáticas (CERT-In) advierte a los residentes indios sobre una campaña de ataque activa que implementa una amenaza de malware para Android llamada Drinik. El objetivo del actor de amenazas es obtener información personal confidencial de los dispositivos Android comprometidos atrayendo a las víctimas con promesas de reembolsos de impuestos sobre la renta.

Drinik no es una amenaza nueva, ya que se usó en 2016. En ese momento, la funcionalidad de la amenaza se limitaba principalmente a la de un simple ladrón de SMS. Sin embargo, según CERT-In, las versiones actuales muestran altos niveles de desarrollo y mejora. Los atacantes ahora implementan Drinik como un troyano bancario destinado a recopilar datos bancarios y financieros junto con otros datos personales sobre las víctimas.

La cadena de ataque

La operación de ataque actual comienza con el actor de amenazas enviando enlaces a través de mensajes SMS a usuarios desprevenidos. Cuando se hace clic, el enlace conduce a un sitio web de phishing diseñado para imitar la página oficial del Departamento de Impuestos sobre la Renta de la India.cercanamente. El sitio falso solicita información personal sobre el usuario antes de descargar una aplicación dañada en el dispositivo. La aplicación lleva el malware Drinik.

La aplicación actúa de manera similar a la versión legítima del producto de software lanzado por el Departamento de Impuestos sobre la Renta para ayudar a los usuarios a generar sus reembolsos de impuestos. La aplicación falsa solicita varios permisos, como acceder a los mensajes SMS, registros de llamadas y contactos.

Funcionalidad amenazante de Drinik

Después de recibir los permisos requeridos, la aplicación falsa mostrará un formulario de solicitud de reembolso. En él, se pide a los usuarios que proporcionen numerosos datos personales: nombres completos, PAN, números de Aadhaar, dirección, fecha de nacimiento, etc. La aplicación no se detiene ahí. También pregunta sobre detalles confidenciales adicionales que pueden incluir números de cuenta, el número CIF, el código IFSC, números de tarjetas de débito, CVV, datos de vencimiento y PIN. La aplicación amenazante pretende que toda la información es necesaria para generar reembolsos de impuestos precisos que posteriormente se transferirán directamente a la cuenta del usuario.

Sin embargo, cuando las víctimas tocan el botón 'Transferir', se les muestra un mensaje de error y una pantalla de actualización falsa mientras el malware Drinik comparte su información con los atacantes en segundo plano. Luego, los ciberdelincuentes utilizan la información personal de la víctima para generar una pantalla de banca móvil específica que solicita las credenciales de banca móvil del usuario. Los actores de la amenaza pueden entonces explotar los datos recopilados de diversas formas, incluido el fraude financiero.