Специалисты «Лаборатории Касперского» рассказали о банковском трояне Riltok. Первые представители этого семейства малвари были замечены еще в марте 2018 года.
Изначально данный банкер предназначался для «работы» с российской аудиторией. Малварь маскировалась под приложения популярных в России сервисов бесплатных объявлений. Распространялись такие подделки с помощью рассылки SMS-сообщений с зараженных устройств. Формат сообщений выглядел так: «%USERNAME%, куплю по безопасной сделке. youlabuy[.]ru/7*****3» или «%USERNAME%, примите 25 000 на Юле youla-protect[.]ru/4*****7». Как не трудно понять, сообщения содержали ссылку на загрузку трояна. Также были замечены экземпляры малвари, выдающие себя за клиента популярного сервиса по поиску авиабилетов или магазин приложений для Android.
Уже в конце 2018 года Riltok вышел на международную арену. Способы маскировки и распространения злоумышленники оставили прежними — иконка и название приложения имитируют популярные сервисы бесплатных объявлений.
В ноябре 2018 года появилась версия троянца для английского рынка — Gumtree.apk. SMS со ссылками на банкер имели следующий вид: «%USERNAME%, i send you prepayment gumtree[.]cc/3*****1».
В январе 2019 года появились итальянская (Subito.apk) и французская (Leboncoin.apk) версии. Их рассылки выглядели следующим образом:
- «%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5» (ит.)
- «% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7» (ит.)
- «%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7*****3» (фр.)
- «%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8*****9» (фр.)
Получив такое SMS-сообщение с вредоносной ссылкой, пользователь попадает на поддельный сайт, который имитирует популярные сервисы бесплатных объявлений. Там жертве предлагают скачать новую версию мобильного приложения, под видом которой и скрывается троян. Для его установки жертве необходимо в настройках устройства разрешить установку приложений из неизвестных источников. А во время установки Riltok запрашивает у пользователя разрешение на использование службы специальных возможностей AccessibilityService, показывая поддельное предупреждение.
Если пользователь игнорирует или отклоняет запрос, окно будет открываться снова и снова. После получения необходимых прав троян назначает себя приложением для SMS по умолчанию (самостоятельно нажимая на «YES» с помощью службы AccessibilityService) и пропадает с экрана устройства и связывается с управляющим сервером.
В более поздних версиях малварь также при старте открывает в браузере фишинговый сайт, имитирующий сервис бесплатных объявлений, чтобы пользователь «авторизовался» там, введя данные своего аккаунта, а также данные о своей банковской карте. Введенные данные отправляются злоумышленникам.
Riltok активно общается со своим командным сервером. Первым делом он регистрирует зараженное устройство в административной панели, отправляя GET-запрос на относительный адрес gate.php(в поздних версиях — gating.php) с параметрами ID (идентификатор устройства, генерируемый функцией setPsuedoID псевдослучайным образом на основе IMEI устройства) и screen (активно ли устройство, возможные значения: on, off, none).
Затем с помощью POST-запросов на относительный адрес report.php он отправляет данные об устройстве (IMEI, номер телефона, страну, сотового оператора, модель телефона, наличие root-прав, версию ОС), список контактов, список установленных приложений, входящие SMS и прочую информацию. От сервера троян получает команды (например, на рассылку SMS) и изменения в конфигурации.
Имя Riltok семейство получило от названия входящей в APK-файл троянца библиотеки librealtalk-jni.so. В библиотеку вынесены такие операции, как:
- получение адреса командного сервера злоумышленников (C&C);
- получение конфигурационного файла с веб-инжектами от C&C, а также список инжектов по умолчанию;
- проверка наличия имен пакетов приложений, породивших события AccessibilityEvent, в списке известных банковских/антивирусных/прочих популярных приложений;
- назначение себя SMS-приложением по умолчанию;
- получение адреса фишинговой страницы, которая открывается при запуске приложения, и другие.
В конфигурационном файле находится список инжектов для мобильных приложений банков — ссылки на фишинговые страницы, соответствующие используемому пользователем мобильному банковскому приложению. В большинстве западных версий трояна имена пакетов в конфигурационном файле по умолчанию «затерты».
С помощью службы AccessibilityService малварь отслеживает события AccessibilityEvent. В зависимости от того, какое приложение (имя пакета) породило событие, Riltok может:
- открыть поддельный экран Google Play, запрашивающий данные банковской карты;
- открыть поддельный экран или фишинговую страницу в браузере (инжект), имитирующие экран соответствующего мобильного банковского приложения и запрашивающие данные пользователя и банковской карты;
- свернуть приложение (например, антивирусные приложения или настройки безопасности устройства).
Кроме того, троян умеет также скрывать уведомления от определенных банковских приложений.
При вводе данных банковской карты в поддельном окне Riltok осуществляет базовые проверки их корректности: срок действия карты, контрольная сумма ее номера, длина CVC, а также наличие номера в черном списке, зашитом в коде трояна.
Функциональность большинства западных версий Riltok на данный момент несколько урезана по сравнению с российской: например, дефолтный конфигурационный файл с инжектами нерабочий, а кроме этого, зловред не содержит встроенных поддельных окон с запросом данных банковской карты.
