Исследователи компании Cyble сообщили об активизации вредоносного ПО Drinic. Этот Android-троянец известен с 2016 года и атакует почти исключительно индийских пользователей. Ранее он «специализировался» на перехвате SMS-сообщений, однако его новая версия является полномасштабным банковским троянцем с возможностями создания снимков экрана, клавиатурного шпионажа и осуществления атак с перекрытием окон легитимных приложений фишинговыми.

Вредоносное ПО распространяется под видом APK-файла приложения iAssist, которое, судя по всему, является официальным государственным приложением для индийских налогоплательщиков. При установке зловред запрашивает множество разрешений – в том числе на отправку и получение SMS, доступ к журналу вызовов и внешним хранилищам данных. Затем троянец предлагает пользователю разрешить ему и доступ к службе специальных возможностей Android, и, получив разрешение, отключает защиту Google Play Protect.

На следующем этапе Drinic загружает подлинный сайт индийской налоговой службы и похищает учетные данные пользователя за счет снимков экрана и клавиатурного шпионажа. После этого на экран выводится фальшивое диалоговое окно: пользователю сообщают, что вследствие ошибки расчетов он якобы уплатил на 57 100 рупий (около 700 долларов) больше налогов, и ему причитается возврат средств. Для этого предлагается ввести данные своего счета и банковской карты, включая ее код безопасности и пин-код. Легко понять, что все эти данные оказываются в руках преступников, открывая им полный доступ к средствам жертв.

В настоящий момент Drinic атакует клиентов 18 ведущих банков страны, включая Государственный банк Индии (State Bank of India – SBI), который является одним из крупнейших в мире, обслуживая порядка 450 миллионов человек.