Nowe zagrożenie wypatrzyli specjaliści z IBM X-Force. Są oni zdania, że malware Banker.BR znajduje się nadal w fazie rozwoju. W ciągu kolejnych miesięcy należy spodziewać się nowych funkcjonalności.
Kod Banker.BR został napisany od podstaw. Nie zawiera on żadnych zapożyczeń od zagrożeń, których kod źródłowy zadebiutował już w sieci. Co ciekawe trojan został napisany w B4X. Jest to nowoczesna wersja Visual Basic, która stanowi element pakietu zintegrowanych środowisk programistycznych (IDE), używanych do tworzenia aplikacji na Androida i iOS. Jest to o tyle interesujące, ponieważ B4X jest bardzo rzadko wykorzystywany do tworzenia malware. Większość grup wybiera raczej Javę lub Kotlin, czyli dwa najpopularniejsze języki w których tworzy się aplikacje na Android.
Malware Banker.BR rozprzestrzenia się wykorzystując wiadomości, które kierują użytkowników na kontrolowane przez przestępców domeny. Jeśli użytkownik kliknie i pobierze najnowszą wersję „aplikacji bezpieczeństwa” dla swoich usług bankowych… zapoczątkuje tak naprawdę pobieranie malware.
Po zakończeniu instalacji, malware przeczesuje urządzenie w poszukiwaniu informacji – w tym numeru telefonu, międzynarodowego identyfikatora urządzenia mobilnego (IMEI), międzynarodowego identyfikatora abonenta mobilnego (IMSI) i numer seryjny karty SIM. Następnie przesyła je na serwery C&C przestępców.
Malware Banker.BR jak wiele mu podobnych korzysta z usług w ramach Android Accessibility Suite. Jest to zbiór usług ułatwień dostępu, które ułatwiają korzystanie z telefonu lub tabletu osobom z różnymi rodzajami niepełnosprawności. Trojan zdobywa więc dostęp do kontaktów, aparatu oraz wiadomości SMS ofiary. W ten sposób Banker.BR jest właśnie w stanie śledzić uruchamiane aplikacje. Gdy ofiara podejmie próbę zalogowania się do aplikacji bankowej, malware wyświetli planszę logowania i poprosi o podanie danych uwierzytelniających. Ponieważ zagrożenie posiada pełną kontrolę nad urządzeniem, jest w stanie przechwycić kody 2FA. Wtedy przestępcy mogą bez większych już problemów wyczyścić rachunek ofiary.
