Современные банковские вирус троянцы для операционной системы Android создаются программистами вирусописателями, а потом продают за немалые деньги как коммерческие продукты через подпольные интернет-площадки. Однако недавно на одном из хакерских форумов в открытом доступе появился исходный код одного из таких вредоносных приложений вместе с подробной инструкцией по использованию троянской программы. Компания «Доктор Веб» и её вирусные аналитики полагают, что из за этого данный вид вируса может привести к значительному увеличению количества Android-банкеров и к большому росту числа совершаемых с помощью такого троянца атак на пользователей программ «клиент-банком».
Вирусописатели опубликовали в свободном доступе исходный код нового вредоносного приложения лишь один месяц назад, однако специалисты компании «Доктор Веб» уже обнаружили Android-банкера, созданного на основе предоставленной киберпреступниками информации. Этот троянец, получивший имя Android.BankBot.149.origin и распространяется под видом безобидных программ. После того как пользователь смартфона или планшета установит и запустет данную программу, она запрашивает доступ к функциям администратора мобильного устройства, это чтобы усложнить пользователю гаджета свое удаление. Затем он маскируется от пользователя, убирая свой значок с главного экрана.
Далее android bankbot подключается к управляющему серверу киберпреступника и ожидает от него команд.
Данный троянец Android.BankBot.149.origin может выполнять следующие действия:
- отправлять и перехватывать СМС-сообщения
- запрашивать у устройства права администратора
- выполнять USSD-запросы
- получать из телефонной книги список всех имеющихся номеров контактов
- рассылать СМС с полученным в команде текстом по всем номерам из телефонной книги
- отслеживать местоположение устройства через спутники GPS
- запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку СМС-сообщений, выполнение звонков
- получать конфигурационный файл со списком атакуемых банковских приложений
- показывать фишинговые окна
Как и многие современные Android-банкеры, Android.BankBot.149.origin крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный образец вирусными аналитиками «Доктор Веб» контролирует запуск более тридцати таких программ. Как только программа троянец обнаруживает, что одна из программ из списка начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка или платёжной системы и показывает ее поверх атакуемого приложения. В итоге пользователь не подозревает, что он ввыдит свои данные не в официальном приложении, а в подставной форме загруженной с сервера злоумышленника и передаёт ему свои данные для подключения.
Вирус Android.BankBot.149.origin проверяет наличие на мобильном гаджете многих банковских приложений, а также програмном обеспечении для работы с денежными переводами и платежными системами:
- Сбербанк Онлайн – ru.sberbankmobile
- Сбербанк Бизнес Онлайн – ru.sberbank_sbbol
- Альфа-Банк (Alfa-Bank) – ru.alfabank.mobile.android
- Альфа-Бизнес – ru.alfabank.oavdo.amc
- Visa QIWI Кошелек – ru.mw
- Мобильный банк R-Connect – ru.raiffeisennews
- Тинькофф – com.idamob.tinkoff.android
- PayPal – com.paypal.android.p2pmobile
- WebMoney Keeper – com.webmoney.my
- РОСБАНК Онлайн – ru.rosbank.android
- ВТБ24-Онлайн – ru.vtb24.mobilebanking.android
- МТС Банк – ru.simpls.mbrd.ui
- Яндекс.Деньги: платежи онлайн – ru.yandex.money
- Сбербанк ОнЛ@йн ПАО СБЕРБАНК – ua.com.cs.ifobs.mobile.android.sbrf
- Приват24 – ua.privatbank.ap24
- Моб. банк Русский Стандарт – ru.simpls.brs2.mobbank
- UBANK – финансовый супермаркет – com.ubanksu
- Idea Bank – com.alseda.ideabank
- IKO – pl.pkobp.iko
- Банк СМС - Bank SMS – com.bank.sms
- OTP Smart – ua.com.cs.ifobs.mobile.android.otp
- VTB Online (Ukraine) – ua.vtb.client.android
- Ощад 24/7 – ua.oschadbank.online
- Platinum Bank – com.trinetix.platinum
- UniCredit Mobile – hr.asseco.android.jimba.mUCI.ua
- Райффайзен Онлайн – ua.pentegy.avalbank.production
- Укргазбанк – com.ukrgazbank.UGBCardM
- StarMobile – com.coformatique.starmobile.android
- Chase Mobile – com.chase.sig.android
- Bank of America Mobile Banking – com.infonow.bofa
- Wells Fargo Mobile – com.wf.wellsfargomobile
- TD International – com.wsod.android.tddii
- TD Spread Trading – com.directinvest.trader
- Akbank Direkt – com.akbank.android.apps.akbank_direkt
- Yapı Kredi Mobil Bankacılık – com.ykb.android
- ÇEKSOR – com.softtech.iscek
- JSC İŞBANK – com.yurtdisi.iscep
- İşCep – com.pozitron.iscep
- İşTablet – com.softtech.isbankasi
Троянец помимо кражи логинов и паролей пытается похитить данные о банковской карте владельца зараженного мобильного устройства. Для этого программа отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, imo, Instagram, Twitter и некоторых других, а потом показывает поверх них фишинговое окно (похожее на оригинальное) настроек платежного сервиса каталога Google Play.
Список программ отслеживаемых Android.BankBot.149.origin
- WhatsApp – com.whatsapp
- Play Маркет – com.android.vending
- Messenger – com.facebook.orca
- Facebook – com.facebook.katana
- WeChat – com.tencent.mm
- Youtube – com.google.android.youtube
- Uber – com.ubercab
- Viber – com.viber.voip
- Snapchat – com.snapchat.android
- Instagram – com.instagram.android
- imo – com.imo.android.imoim
- Twitter – com.twitter.android
После запуска одного из списка этих приложений троянец android bankbot показывает поверх него поддельное окно настроек платежного сервиса Google Play.
При поступлении СМС вирус троянец отключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные СМС из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.
Все украденные Android.BankBot.149.origin данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью киберпреступники не только получают интересующую их информацию, но и управляют вредоносным приложением.
Также Android.BankBot.149.origin передает на сервер сведения об установленных у пользователя некоторых популярных антивирусных приложениях и сервисных утилитах, которые могут помешать его работе на устройстве.
Троянец Android.BankBot.149.origin проверяет наличие на устройстве следующих программ:
- Anti-virus Dr.Web Light – com.drweb
- CM Security AppLock AntiVirus – com.cleanmaster.security
- Kaspersky Antivirus & Security – com.kms.free
- ESET Mobile Security & Antivirus – com.eset.ems
- Avast Mobile Security & Antivirus – com.avast.android.mobilesecurity
- Clean Master (Boost&Antivirus) – com.cleanmaster.mguard
- 360 Security - Antivirus – com.qihoo.security
- AVG AntiVirus FREE for Android – com.antivirus
- Antivirus Free - Virus Cleaner – com.zrgiu.antivirus
- Super Cleaner - Antivirus – com.apps.go.clean.boost.master
- AndroHelm AntiVirus Android 2017 – com.androhelm.antivirus.free
- TrustGo Antivirus & Mobile Security – com.trustgo.mobile.security
- Sophos Free Antivirus and Security – com.sophos.smse
В общем и целом возможности этого троянца Android.BankBot.149.origin являются вполне стандартными для современных Android-банкеров. Но поскольку киберпреступники создали его с использованием доступной любому желающему информации выложенной в открытом доступе, можно с большой долей вероятности ожидать появления множества новых аналогичных программ троянцев. Как убрать вирус троян с телефона андроид, а так-же вирусы поражающие исходный код и не попасть под угрозу воровства данных, необходимо использовать антивирусные программы, одна из таких это Anti-virus Dr.Web Light.также он поможет убрать вирус с телефона андроид
Источник: Доктор Веб
0 0 комментариев