Банковский троян для операционной системы Android BrazKing вернулся в строй с новыми функциями динамического наложения окон поверх легитимных приложений. Обновлённые возможности позволяют вредоносу спокойно работать в системе без необходимости запрашивать подозрительные права.
На новый образец BrazKing наткнулись исследователи из IBM Trusteer, которые отметили, что зловред распространяется на сторонних площадках и через смишинговые СМС-сообщения. В Google Play Store его присутствие пока замечено не было.
Операторы трояна используют старый трюк: пользователя пугают наличием устаревшей и уязвимой версии Android и предлагают скачать APK, который якобы обновит софт до актуального релиза.
После загрузки на устройство жертвы BrazKing запросит лишь одно разрешение — на доступ к специальным возможностям операционной системы (Accessibility Service). Это необходимо вредоносу для снятия скриншотов, записи нажатий клавиш виртуальной клавиатуры и т. п.
Помимо этого, троян выполняет функции софта для удалённого доступа и успешно взаимодействует с банковскими приложениями. BrazKing может читать СМС-сообщения жертв без прав «android.permission.READ_SMS» и перехватывать коды двухфакторной аутентификации.
Ещё одна особенность последних семплов — возможность накладывать свои окна поверх легитимных приложений без доступа к «System_Alert_Window». Именно так троян перехватывает учётные данные, вводимые пользователем.
В новой версии вредоносного приложения исследователи также увидели механизмы сокрытия внутренних ресурсов, для чего применяется XOR-операция с жёстко запрограммированным ключом.
