Salvador Stealer
Az ANY.RUN elemzés szerint a Salvador Stealer egy új Android-alapú malware, amely banki alkalmazásnak álcázva magát érzékeny felhasználói adatokat lop el. A kártékony szoftver egy kétszintű támadási láncot alkalmaz, amelynek során egy dropper APK segítségével titokban telepíti a fő kártevőt (base.apk) a felhasználó eszközére. Ez a végrehajtási forma lehetővé teszi, hogy a kártevő a rendszer tudta nélkül kerüljön aktiválásra, közvetlen felhasználói beavatkozás nélkül.
A dropper APK viselkedéséből kiderül, hogy speciális engedélyeket és intent filtereket deklarál az AndroidManifest.xml fájlban, többek között a REQUEST_INSTALL_PACKAGES engedélyt, amely lehetővé teszi más alkalmazások telepítését. Az elemzés során megfigyelték, hogy a kártevő automatikusan elindít egy új activity-t, amelyen keresztül a base.apk betöltődik és végrehajtásra kerül.
A base.apk tartalmazza a tényleges kártevőt, amely egy hamis banki applikációnak álcázza magát. Ennek segítségével először személyes adatokat próbál megszerezni, mint például a regisztrált mobilszám, az Aadhaar és PAN szám, valamint a születési dátum. Ezeket az adatokat a rendszer azonnal továbbítja egy adathalász oldalra és egy Telegram-botként működő C2 (command and control) infrastruktúrára. A felhasználó által később megadott netbanki azonosítókat és jelszavakat szintén ezekre a csatornákra küldi el, valós idejű adattovábbítással.
A Salvador Stealer különösen veszélyes komponense, hogy hozzáférést kér az eszközön tárolt SMS-ekhez, így képes elfogni az egy alkalommal használatos jelszavakat (OTP) és banki megerősítő kódokat, ezzel megkerülve a kétfaktoros hitelesítést. Az adatszivárgás két csatornán történik: az SMS-eket valós időben továbbítja, valamint HTTP POST kéréseken keresztül is képes elküldeni őket, biztosítva az adatszivárgást még akkor is, ha az egyik módszer meghiúsul.
Perzisztencia érdekében a kártevő automatikusan újraindul, ha bezárják, és a rendszer újraindítását is túléli a BroadcastReceiver bejegyzések révén, amelyeket rendszer szinten regisztrál. Az elemzés során az is kiderült, hogy a támadók által használt adminisztrációs panel és phishing infrastruktúra részben nyilvánosan elérhető volt, és tartalmazta a támadó WhatsApp elérhetőségét – ez a szál Indiához köthető.
Azonosítási szempontból a viselkedésalapú detekció kulcsfontosságú. A dropper által generált tevékenységek – például a telepítési engedélyek kérése, a csomag önmagából való újraindítása, Telegram API-használat C2 kommunikációra, illetve az Android rendszerüzenetekkel való manipuláció – mind tipikus jelei az ilyen típusú fenyegetésnek. A teljes malware viselkedése az ANY.RUN Android sandbox környezetében lett szimulálva és dokumentálva, amely révén a szakértők vizualizálni tudták a támadás minden lépését.
