Банковскому Android-трояну BrazKing теперь не нужно много прав в системе

Банковский троян для операционной системы Android BrazKing вернулся в строй с новыми функциями динамического наложения окон поверх легитимных приложений. Обновлённые возможности позволяют вредоносу спокойно работать в системе без необходимости запрашивать подозрительные права.

На новый образец BrazKing наткнулись исследователи из IBM Trusteer, которые отметили, что зловред распространяется на сторонних площадках и через смишинговые СМС-сообщения. В Google Play Store его присутствие пока замечено не было.

Операторы трояна используют старый трюк: пользователя пугают наличием устаревшей и уязвимой версии Android и предлагают скачать APK, который якобы обновит софт до актуального релиза.

После загрузки на устройство жертвы BrazKing запросит лишь одно разрешение — на доступ к специальным возможностям операционной системы (Accessibility Service). Это необходимо вредоносу для снятия скриншотов, записи нажатий клавиш виртуальной клавиатуры и т. п.

Помимо этого, троян выполняет функции софта для удалённого доступа и успешно взаимодействует с банковскими приложениями. BrazKing может читать СМС-сообщения жертв без прав «android.permission.READ_SMS» и перехватывать коды двухфакторной аутентификации.

Ещё одна особенность последних семплов — возможность накладывать свои окна поверх легитимных приложений без доступа к «System_Alert_Window». Именно так троян перехватывает учётные данные, вводимые пользователем.

В новой версии вредоносного приложения исследователи также увидели механизмы сокрытия внутренних ресурсов, для чего применяется XOR-операция с жёстко запрограммированным ключом.