新版Drinik安卓恶意软件重现，瞄准印度纳税人

2022年10月，Cyble分析师曾发文报道2016年由CERT-In首次发现的Drinik恶意软件重现。今年报税季期间，伦敦大学学院（UCL）研究短信钓鱼的博士生Sharad Agarwal发现并识别出新版Drinik恶意软件，该软件伪装成印度所得税部门，针对受害者的UPI（统一支付接口）支付应用。

恶意软件iAssist.apk通过URL hxxp://198[.]46[.]177[.]176/IT-R/?id={手机号}传播，诱使用户下载假冒印度所得税部门的应用版本。与Daniel Arp共同分析样本后，我们发现相较于旧版本新增以下功能。

通信机制

分析显示恶意软件与C&C服务器hxxp://msr[.]servehttp[.]com（IP 107[.]174[.]45[.]116）通信，并静默投放另一个托管在C&C上的恶意APK文件（VirusTotal已标记为"GAnalytics.apk"）。

此前攻击活动使用不同IP进行C&C通信，但IP托管提供商"ColoCrossing"与之前相同，强烈表明两起活动背后为同一威胁行为体，且再次滥用相同托管服务商。与既往版本一致，最新版仍会录制移动设备屏幕并将数据发送至C&C服务器（图1）。

图1：向外部C&C服务器上传录制视频的功能

此外，我们还发现了犯罪分子通过此恶意软件发送短信的目标电话号码（表1）。恶意APK在安装时要求READ、WRITE、RECEIVE和SEND短信权限，若用户未全部授权则无法运行（表2）。

表1：入侵指标（IoCs）

混淆技术

与既往版本类似，此版本仍通过WebView加载合法印度税务网站hxxps://eportal[.]incometax[.]gov[.]in（图2）。新版采用不同字符串混淆技术以规避杀毒软件检测并增加分析难度。图3展示了恶意软件类azure.axs.iAssist.Bcq中使用的反混淆方法。

图2：恶意软件加载印度所得税部门网站

图3：恶意软件中发现的字符串反混淆代码

UPI支付应用定向攻击

在类azure.axs.iAssist.Jcm的onCreate方法反编译代码中，我们发现以下字符串，表明此版恶意软件针对UPI支付应用：

• “由于银行服务器未及时响应，59,000卢比存款已退回您的账户。请打开GooglePay应用检查账户余额进行验证。若余额异常请立即联系支持。”
• “由于银行服务器未及时响应，59,000卢比存款已退回您的账户。请打开Paytm应用检查账户余额进行验证。若余额异常请立即联系支持。”
• “由于银行服务器未及时响应，59,000卢比存款已退回您的账户。请打开Phonepe应用检查账户余额进行验证。若余额异常请立即联系支持。”

发现并分析恶意软件功能后，我们已向印度计算机应急响应小组（CERT-In）报告以采取必要行动。

表2：iAssist.apk权限列表