Drinik安卓恶意软件新变种瞄准印度纳税人

去年10月，Cyble的分析师发表文章指出Drinik恶意软件回归，该恶意软件最初由CERT-In在2016年发现。上个月正值报税季，伦敦大学学院（UCL）研究短信网络钓鱼的博士生Sharad Agarwal发现并识别出一个更新版本的Drinik恶意软件，该软件冒充印度所得税部门，并针对受害者的UPI（统一支付接口）支付应用。

iAssist.apk恶意软件通过URL hxxp://198[.]46[.]177[.]176/IT-R/?id={手机号码}传播，用户被欺骗下载该应用的新版本，冒充印度所得税部门。与Daniel Arp一起，我们分析了恶意软件样本，以检查与之前版本相比的新功能。以下是我们发现的简要概述。

通信

我们的分析发现，恶意软件与命令与控制（C&C）服务器hxxp://msr[.]servehttp[.]com通信，该服务器托管在IP 107[.]174[.]45[.]116上。它还静默地将另一个托管在C&C上的恶意APK文件投放到受害者的手机上，该文件已在VirusTotal上被识别并标记为恶意软件——“GAnalytics.apk”。

之前的活动使用不同的IP进行C&C通信。然而，IP地址的托管提供商“ColoCrossing”与之前的活动相同。这强烈表明，两次活动背后的威胁行为者是同一人，并再次滥用同一托管提供商。正如之前该恶意软件版本的报道，最新版本的恶意软件还记录移动设备的屏幕，并将记录的数据发送到C&C服务器（见图1）。

图1：将录制视频上传到外部C&C服务器的功能。

此外，我们还发现了犯罪分子使用的电话号码，通过该恶意软件发送短信（见表1）。恶意APK在安装期间要求READ、WRITE、RECEIVE和SEND SMS权限，除非用户接受所有权限，否则无法工作（见表2）。

表1：攻击指标（IoCs）

混淆

与之前报告的iAssist恶意软件版本类似，此版本也使用WebView加载合法的印度所得税网站hxxps://eportal[.]incometax[.]gov[.]in，如图2所示。此新版本使用不同的字符串混淆技术，以规避防病毒产品的检测并阻碍其分析。图3中的代码显示了恶意软件类azure.axs.iAssist.Bcq中使用的去混淆方法。

图2：恶意软件加载印度所得税部门网站。

图3：用于去混淆恶意软件中字符串的代码。

针对UPI支付应用

我们在类azure.axs.iAssist.Jcm的onCreate方法的反汇编代码中发现了以下字符串。这些表明此版本的恶意软件针对UPI支付应用：

• “Deposit of Rs.59,000 to your account has been reversed as your bank server did not respond on time. Kindly open GooglePay app and check your account balance for verification. Contact support immediately if your account Balance is not proper.”
• “Deposit of Rs.59,000 to your account has been reversed as your bank server did not respond on time. Kindly open Paytm app and check your account balance for verification. Contact support immediately if your account Balance is not proper.”
• “Deposit of Rs.59,000 to your account has been reversed as your bank server did not respond on time. Kindly open Phonepe app and check your account balance for verification. Contact support immediately if your account Balance is not proper.”

在识别恶意软件并分析其功能后，已向印度计算机应急响应小组（CERT-In）报告，以采取必要行动。

表2：权限：iAssist.apk