Android-троянец атакует клиентов нескольких российских банков

Компания «Доктор Веб» предупреждает пользователей о распространении нового троянца, заражающего мобильные Android-устройства и выполняющего на них различные действия по команде злоумышленников. Главная опасность этой вредоносной программы заключается в том, что она способна похищать деньги с банковских счетов пользователей, причем жертвами подобных атак могут стать клиенты сразу нескольких российских кредитных организаций.

Обнаруженная специалистами компании «Доктор Веб» вредоносная программа, внесенная в вирусную базу как Android.BankBot.33.origin, представляет собой троянца, способного выполнять на мобильных Android-устройствах различные команды злоумышленников. Вредоносное приложение распространяется киберпреступниками под видом самых разнообразных программ, при этом число возможных вариантов ограничивается лишь фантазией вирусописателей. Стоит отметить, что троянец может быть инсталлирован на смартфон или планшет только его владельцем, для чего в настройках операционной системы должна быть разрешена установка программ из сторонних источников.

Чтобы Android.BankBot.33.origin начал свою работу, пользователь должен самостоятельно запустить его, нажав на соответствующий ярлык, созданный вредоносным приложением. Чтобы увеличить шансы на запуск троянца, в ряде случаев злоумышленники снабжают его ярлык значком той или иной популярной программы, которая известна пользователям и которой те доверяют. Таким образом, даже в случае если на устройстве уже установлена настоящая версия приложения, под видом которого распространяется Android.BankBot.33.origin, потенциальные жертвы могут ошибочно принять ярлык троянца за ярлык легитимного ПО и запустить вредоносное приложение. На приведенной ниже иллюстрации показан пример ярлыков, которые Android.BankBot.33.origin создает после установки на целевое устройство.

Будучи запущенной, эта вредоносная программа пытается получить права администратора мобильного устройства, для чего настойчиво демонстрирует соответствующее системное уведомление и фактически не позволяет потенциальной жертве отказаться от выполнения запрошенного действия. После успешного получения системных привилегий Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке, либо отобразить интерфейс приложения, под прикрытием которого и распространялся троянец. В обоих случаях троянец удаляет созданный им ранее ярлык, «прячась» таким образом от неопытных пользователей.

Затем вредоносная программа устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве. В частности, Android.BankBot.33.origin передает на сервер следующие данные:

  • IMEI-идентификатор;
  • IMSI-идентификатор;
  • текущее время, установленное в системе;
  • номер мобильного телефона;
  • версия троянца;
  • SID-идентификатор;
  • версия ОС;
  • модель устройства;
  • производитель устройства;
  • версия SDK системы;
  • идентификатор троянца.

В ответ сервер отправляет троянцу список команд, которые тот должен исполнить. Android.BankBot.33.origin может выполнить следующие действия:

  • установить время следующего соединения с командным центром;
  • изменить адрес командного центра;
  • занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
  • занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
  • убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
  • убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
  • отправить СМС-сообщение с заданным текстом на указанный в команде номер;
  • загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
  • попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
  • вывести в область уведомлений сообщение с заданным в команде текстом;
  • открыть в браузере заданный в команде веб-адрес;
  • отправить на управляющий сервер список контактов;
  • отправить на управляющий сервер список установленных приложений.

Главная опасность этого вредоносного приложения заключается в том, что оно способно функционировать в качестве банковского троянца и выполнять незаконные операции с денежными средствами владельцев Android-устройств. Так, Android.BankBot.33.origin пытается получить информацию о текущем балансе банковского счета, либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого троянец отправляет соответствующий СМС-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем. Если вредоносная программа получит ответ, то при помощи специально сформированных СМС-команд она попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, т. к. Android.BankBot.33.origin способен перехватить и заблокировать СМС-уведомления о совершенных операциях.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя, загрузив в браузере зараженного устройства имитирующий внешний вид настоящего интернет-портала банка мошеннический веб-сайт, где жертве будет предложено ввести конфиденциальные сведения для входа. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

Запись для детектирования этого троянца внесена в вирусную базу компании «Доктор Веб», поэтому для пользователей Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light он не представляет угрозы.

Защитите ваше Android-устройство с помощью Dr.Web

ИСТОЧНИК

28.11.2014 в 13:52
Обсудить у себя 0
Комментарии (0)
Чтобы комментировать надо зарегистрироваться или если вы уже регистрировались войти в свой аккаунт.

Войти через социальные сети:

mefisto13
mefisto13
сейчас на сайте
36 лет (03.12.1980)
icq: 380592332
mefisto13@live.ru
Читателей: 2 Опыт: 0 Карма: 1
HotLogRSSjzeTA.png
Рейтинг Сайтов YandeG Интернет-статистика
Теги
33 action activex add-in admin adobe adroid advanced adware agent alcogrind alternative metal american express android android.backdoor android.bankbot android.bankbot.33.origin android.muldrop android.smsbot android.smsforward android.smssend android.smsspy android.spyandroid.tempur antivirus api apple apple maps aspxor atmospheric metal av b2b backbot battle metal bios bitcoin bitguard blackened metal black metal brutal metal bye.im capperkiller cbs cisco ciscompeaddin creeper crossover metal crustgrind cureit cybergrind dark metal ddos ddos-атаки deathcore death metal depressive metal dns doom metal dos dr drweb dr.web dwz.cn endpoint endpoint security epic metal ethernet experimental metal express extreme metal facebook fakeinst.ef fippkiller flash flashfake removal tool folk metal funeral metal funnygrind goo.gl google google+ goregrind gothic metal grindcore groove metal hangouts hardcore hard rock heavy metal hps imei include industrial metal instaler ios ip it-инфраструктура it-ресурсы java ka.do kaspersky kaspersky rescue disk + windowsunlocker kaspersky security kaspersky virus removal tool kateskiller kidokiller ksn ( ksn ) lab ledhost.org led-vostok linux love metal lovesan mac os x mail marijuana master card mathcore me2.do meeting mefisto13 melodic metal metalcore modern metal monitoring movie neoclassical metal net network nix noisegrind novilab security nu metal october ocx odnoklassniki origin pagan metal paypal pin pixel bender place plugin pornogrind post-hardcore power metal progressive metal protect protection psychedelic metal rakhnidecryptor rbrute rectordecryptor red rutkit scada-система script sector security service pack shitgrind skimer skype sms smsbot smssend space spam speed metal stoner metal swf symphonic metal system tdsskiller technical metal test thrashcore thrash metal trojan trojan.cointhief trojan.skimer trusted tweeter unix update usability viber video viking metal virtual virus viruslist.com visa vkontakte vostok-led web welchia whatsapp wifi wi-fi win32 windbg windows windows 8 windows 98 worm xoristdecryptor youtube агент администрирование адресс азия аналитика аналитики антивирус асу асуп асу тп атака атаки базы банк банки банкинг банкомат бегущая безопасность безопасные бизнес блок блокировка борьба веб взлом виагра видео виртуализация вирус вирусы вложения война вор вредоносное по вредоносные вредоносный глобальная город дайджест данные двор декомпиляция деньги дети диоды доктор доктор веб дом дос драйвер женщины жертва жертвы жильё загрузки записки заражение защита зловред злоумышленники идентификатор известия интерактивная интернет информация инфраструктура исследования источник итоги калибровка карта касперский квартиа кибератаки кибермошенники киберпреступник киберпреступники киберпреступность киберугроза киберугрозы кибершпион китай клиенты код коммуналка комнаты компания комплекс компьютер компьютеры контроль корпорация кошелёк кража кражи кровь кроссплатформа лаборатория лицензия люди мвд мессенджеров методика метро механизм министрество мифи мобильные мобильный модель модификация модули модуль мошенники мужчины мусора наблюдение наказание налог настройка настройки нигерийские письма никс новости облачные обнаружение оборона оксиджен олимпиада онлайн оперативная оператор операции операционная организация ос android память персональные письма письмо плагин планшет платежи платформа площадь по поддержка подозрительные подписка поиск пользователи порошенко портал похищение почта права правила предосное преступность приложение приложения программа программы програмы продажа продукция промышленность протокол процесс процесы развитие район расправа рассылка рейтинг реклама ремонт ресурс решение россия роутер рунет руткит сайт сампл сборка свет светодиоды сервер сервис сети сеть сигнатура синдикат система слежка смартфон смерть смс соманда сообщение сообщения софт софтвер социальные соцсети сочи спам спамер специалисты спецоборудование сталинский статистика строка счета сша тайвань телефон тестирование технологии тех поддержка техподдержка трафик тройян троян троянец убийство убийца угроза угрозы украина украинцы устройства устройство утилиты уязвимость файл файлы физическая фиксирует финансы фишеры фишинг функции халява черви червь щит эвристика эксперты эксплойт эксплойты электронные элемент лизинг эталон южная корея ядро ярлык
Я в клубах
Служба помощи MyPage.Ru Пользователь клуба
все 2 Мои друзья