针对印度纳税人的Drinik安卓恶意软件新变种重现

去年10月，Cyble的分析师发表了一篇关于Drinik恶意软件重现的文章，该恶意软件最初由CERT-In在2016年发现。上个月在纳税季期间，伦敦大学学院（UCL）研究短信网络钓鱼的博士生Sharad Agarwal发现并识别了Drinik恶意软件的更新版本，该版本冒充印度所得税部门，并针对受害者的UPI（统一支付接口）支付应用。

iAssist.apk恶意软件通过URL hxxp://198[.]46[.]177[.]176/IT-R/?id={手机号码}传播，用户被欺骗下载这个冒充印度所得税部门的新版本应用。与Daniel Arp一起，我们分析了该恶意软件样本，以检查与之前版本相比的新功能。以下是我们发现的简要概述。

通信机制

我们的分析发现，该恶意软件与命令与控制（C&C）服务器hxxp://msr[.]servehttp[.]com通信，该服务器托管在IP 107[.]174[.]45[.]116上。它还会静默地将托管在C&C上的另一个恶意APK文件投放到受害者手机上，该文件已被VirusTotal识别并标记为恶意软件——“GAnalytics.apk”。

之前的活动使用不同的IP进行C&C通信。然而，IP地址的托管提供商“ColoCrossing”与之前活动相同。这强烈表明这两次活动背后的威胁行为者是同一组织，并且再次滥用同一托管提供商。正如之前该恶意软件版本的报道，最新版本的恶意软件也会记录移动设备的屏幕并将记录的数据发送到C&C服务器（见图1）。

图1：将录制视频上传到外部C&C服务器的功能

此外，我们还发现了犯罪分子使用的电话号码，通过此恶意软件向这些号码发送短信（见表1）。恶意APK在安装期间要求读取、写入、接收和发送短信的权限，除非用户接受所有权限，否则无法工作（见表2）。

表1：攻击指标（IoCs）

混淆技术

与之前报道的iAssist恶意软件版本类似，此版本也使用WebView加载合法的印度所得税网站hxxps://eportal[.]incometax[.]gov[.]in，如图2所示。这个新版本使用不同的字符串混淆技术来规避防病毒产品的检测并阻碍分析。图3中的代码显示了恶意软件类azure.axs.iAssist.Bcq中使用的反混淆方法。

图2：恶意软件加载印度所得税部门网站

图3：恶意软件中用于反混淆字符串的代码

针对UPI支付应用

我们在类azure.axs.iAssist.Jcm的onCreate方法的反汇编代码中发现了以下字符串。这些表明此版本的恶意软件针对UPI支付应用：

“向您账户存入的59,000卢比已被撤销，因为您的银行服务器未及时响应。请打开GooglePay应用并检查您的账户余额以进行验证。如果您的账户余额不正确，请立即联系支持。”

“向您账户存入的59,000卢比已被撤销，因为您的银行服务器未及时响应。请打开Paytm应用并检查您的账户余额以进行验证。如果您的账户余额不正确，请立即联系支持。”

“向您账户存入的59,000卢比已被撤销，因为您的银行服务器未及时响应。请打开Phonepe应用并检查您的账户余额以进行验证。如果您的账户余额不正确，请立即联系支持。”

在识别恶意软件并分析其功能后，已向印度计算机应急响应小组（CERT-In）报告以采取必要措施。

表2：权限：iAssist.apk