Вирус android bankbot с исходным кодом в открытом доступе

 Современные банковские вирус троянцы для операционной системы Android создаются программистами вирусописателями, а потом продают за немалые деньги как коммерческие продукты через подпольные интернет-площадки. Однако недавно на одном из хакерских форумов в открытом доступе появился исходный код одного из таких вредоносных приложений вместе с подробной инструкцией по использованию троянской программы. Компания «Доктор Веб» и её вирусные аналитики полагают, что из за этого данный вид вируса может привести к значительному увеличению количества Android-банкеров и к большому росту числа совершаемых с помощью такого троянца атак на пользователей программ «клиент-банком».


Вирус на андройдВирус на андройд

 
 Вирусописатели опубликовали в свободном доступе исходный код нового вредоносного приложения лишь один месяц назад, однако специалисты компании «Доктор Веб» уже обнаружили Android-банкера, созданного на основе предоставленной киберпреступниками информации. Этот троянец, получивший имя Android.BankBot.149.origin и распространяется под видом безобидных программ. После того как пользователь смартфона или планшета установит и запустет данную программу, она запрашивает доступ к функциям администратора мобильного устройства, это чтобы усложнить пользователю гаджета свое удаление. Затем он маскируется от пользователя, убирая свой значок с главного экрана.

Установка Android.BankBot.149.origin


Далее android bankbot подключается к управляющему серверу киберпреступника и ожидает от него команд.
 

Данный троянец Android.BankBot.149.origin может выполнять следующие действия:

  • отправлять и перехватывать СМС-сообщения
  • запрашивать у устройства права администратора
  • выполнять USSD-запросы
  • получать из телефонной книги список всех имеющихся номеров контактов
  • рассылать СМС с полученным в команде текстом по всем номерам из телефонной книги
  • отслеживать местоположение устройства через спутники GPS
  • запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку СМС-сообщений, выполнение звонков
  • получать конфигурационный файл со списком атакуемых банковских приложений
  • показывать фишинговые окна
Как и многие современные Android-банкеры, Android.BankBot.149.origin крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный образец вирусными аналитиками «Доктор Веб» контролирует запуск более тридцати таких программ. Как только программа троянец обнаруживает, что одна из программ из списка начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка или платёжной системы и показывает ее поверх атакуемого приложения. В итоге пользователь не подозревает, что он ввыдит свои данные не в официальном приложении, а в подставной форме загруженной с сервера злоумышленника и передаёт ему свои данные для подключения.

Фишинговая форма  Android.BankBotФишинговая форма Android.BankBot


Вирус Android.BankBot.149.origin проверяет наличие на мобильном гаджете многих банковских приложений, а также програмном обеспечении для работы с денежными переводами и платежными системами: 

  • Сбербанк Онлайн – ru.sberbankmobile
  • Сбербанк Бизнес Онлайн – ru.sberbank_sbbol
  • Альфа-Банк (Alfa-Bank) – ru.alfabank.mobile.android
  • Альфа-Бизнес – ru.alfabank.oavdo.amc
  • Visa QIWI Кошелек – ru.mw
  • Мобильный банк R-Connect – ru.raiffeisennews
  • Тинькофф – com.idamob.tinkoff.android
  • PayPal – com.paypal.android.p2pmobile
  • WebMoney Keeper – com.webmoney.my
  • РОСБАНК Онлайн – ru.rosbank.android
  • ВТБ24-Онлайн – ru.vtb24.mobilebanking.android
  • МТС Банк – ru.simpls.mbrd.ui
  • Яндекс.Деньги: платежи онлайн – ru.yandex.money
  • Сбербанк ОнЛ@йн ПАО СБЕРБАНК – ua.com.cs.ifobs.mobile.android.sbrf
  • Приват24 – ua.privatbank.ap24
  • Моб. банк Русский Стандарт – ru.simpls.brs2.mobbank
  • UBANK – финансовый супермаркет – com.ubanksu
  • Idea Bank – com.alseda.ideabank
  • IKO – pl.pkobp.iko
  • Банк СМС - Bank SMS – com.bank.sms
  • OTP Smart – ua.com.cs.ifobs.mobile.android.otp
  • VTB Online (Ukraine) – ua.vtb.client.android
  • Ощад 24/7 – ua.oschadbank.online
  • Platinum Bank – com.trinetix.platinum
  • UniCredit Mobile – hr.asseco.android.jimba.mUCI.ua
  • Райффайзен Онлайн – ua.pentegy.avalbank.production
  • Укргазбанк – com.ukrgazbank.UGBCardM
  • StarMobile – com.coformatique.starmobile.android
  • Chase Mobile – com.chase.sig.android
  • Bank of America Mobile Banking – com.infonow.bofa
  • Wells Fargo Mobile – com.wf.wellsfargomobile
  • TD International – com.wsod.android.tddii
  • TD Spread Trading – com.directinvest.trader
  • Akbank Direkt – com.akbank.android.apps.akbank_direkt
  • Yapı Kredi Mobil Bankacılık – com.ykb.android
  • ÇEKSOR – com.softtech.iscek
  • JSC İŞBANK – com.yurtdisi.iscep
  • İşCep – com.pozitron.iscep
  • İşTablet – com.softtech.isbankasi
Троянец помимо кражи логинов и паролей пытается похитить данные о банковской карте владельца зараженного мобильного устройства. Для этого программа отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube,  imo, Instagram, Twitter и некоторых других, а потом показывает поверх них фишинговое окно (похожее на оригинальное) настроек платежного сервиса каталога Google Play.
 
Список программ отслеживаемых Android.BankBot.149.origin
  • WhatsApp – com.whatsapp
  • Play Маркет – com.android.vending
  • Messenger – com.facebook.orca
  • Facebook – com.facebook.katana
  • WeChat – com.tencent.mm
  • Youtube – com.google.android.youtube
  • Uber – com.ubercab
  • Viber – com.viber.voip
  • Snapchat – com.snapchat.android
  • Instagram – com.instagram.android
  • imo – com.imo.android.imoim
  • Twitter – com.twitter.android
После запуска одного из списка этих приложений троянец android bankbot показывает поверх него поддельное окно настроек платежного сервиса Google Play.
 

Поддельное окно настроек платежного сервиса Google Play


При поступлении СМС вирус троянец отключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные СМС из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.

Все украденные Android.BankBot.149.origin данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью киберпреступники не только получают интересующую их информацию, но и управляют вредоносным приложением.

Украденные Android.BankBot.149.origin данные загруженные на управляющий серверУкраденные Android.BankBot.149.origin данные загруженные на управляющий сервер

 
Также Android.BankBot.149.origin передает на сервер сведения об установленных у пользователя некоторых популярных антивирусных приложениях и сервисных утилитах, которые могут помешать его работе на устройстве.
 

Троянец Android.BankBot.149.origin проверяет наличие на устройстве следующих программ: 

  • Anti-virus Dr.Web Light – com.drweb
  • CM Security AppLock AntiVirus – com.cleanmaster.security
  • Kaspersky Antivirus & Security – com.kms.free
  • ESET Mobile Security & Antivirus – com.eset.ems
  • Avast Mobile Security & Antivirus – com.avast.android.mobilesecurity
  • Clean Master (Boost&Antivirus) – com.cleanmaster.mguard
  • 360 Security - Antivirus – com.qihoo.security
  • AVG AntiVirus FREE for Android – com.antivirus
  • Antivirus Free - Virus Cleaner – com.zrgiu.antivirus
  • Super Cleaner - Antivirus – com.apps.go.clean.boost.master
  • AndroHelm AntiVirus Android 2017 – com.androhelm.antivirus.free
  • TrustGo Antivirus & Mobile Security – com.trustgo.mobile.security
  • Sophos Free Antivirus and Security – com.sophos.smse

В общем и целом возможности этого троянца Android.BankBot.149.origin являются вполне стандартными для современных Android-банкеров. Но поскольку киберпреступники создали его с использованием доступной любому желающему информации выложенной в открытом доступе, можно с большой долей вероятности ожидать появления множества новых аналогичных программ троянцев. Как убрать вирус троян с телефона андроид, а так-же вирусы поражающие исходный код и не попасть под угрозу воровства данных, необходимо использовать антивирусные программы, одна из таких это Anti-virus Dr.Web Light.также он поможет убрать вирус с телефона андроид

Источник: Доктор Веб

Мы будем вынуждены удалить ваши комментарии при наличии в них нецензурной брани, оскорблений и спама !
Комментарий через ВКонтактe

0 0 комментариев

Ваше имя: *
Ваш e-mail: *
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Вставка ссылкиВставка защищенной ссылки Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Код: Включите эту картинку для отображения кода безопасности
обновить, если не виден код
Введите код:
© 2014-2017 Hi-Tech News h-t-n.ru