Android-банкеры атакуют и после ареста их распространителей

Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянцев семейства Android.BankBot, атакующих клиентов банков множества стран.

Некоторые модификации этих троянцев, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ.

Троянцы семейства Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 года, когда МВД России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций. Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянцев другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров.

Так, совсем недавно вирусные аналитики компании «Доктор Веб» обнаружили несколько подобных троянцев, среди которых – Android.BankBot.43 и Android.BankBot.45. Они распространяются под видом легального ПО, такого как игры, медиаплееры или обновления операционной системы, и благодаря применению злоумышленниками различных методов социальной инженерии опрометчиво устанавливаются на Android-смартфоны и планшеты самими же пользователями.

Запустившись в зараженной системе, троянцы Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, которые дают им расширенные возможности, включая способность препятствовать их удалению. В процессе получения необходимых прав вредоносные программы используют весьма интересный механизм. В частности, они отображают поверх стандартного системного диалогового окна собственное сообщение, которое закрывает собой настоящее уведомление операционной системы и предлагает установить некие «дополнения». Соглашаясь с предложенным действием, пользователь на самом деле добавляет троянцев в список администраторов мобильного устройства, т. к. при нажатии кнопки «Продолжить», происходит активация скрытой за мошенническим окном оригинальной функции ОС.

В то же время, при попытке удаления троянцев Android.BankBot процедура исключения их из списка администраторов пресекается демонстрацией специального сообщения, в результате чего деинсталляция вредоносных приложений стандартными средствами системы становится невозможной.

После получения необходимых полномочий данные троянцы устанавливают связь с управляющим сервером и ожидают поступления дальнейших указаний. В частности, они способны выполнить следующие действия по команде с сервера:

  • позвонить на указанный в команде номер;
  • использовать для связи с управляющим сервером полученный в команде веб-адрес;
  • выполнить указанный в команде USSD- запрос;
  • отправить на сервер все входящие и исходящие СМС-сообщения;
  • выполнить сброс настроек устройства с удалением всех данных пользователя;
  • отправить СМС-сообщение с заданными параметрами;
  • отправить на сервер подробную информацию о зараженном устройстве;
  • осуществить поиск файла в соответствии с полученным в команде именем;
  • использовать заданный телефонный номер для получения дублирующих команд.

Т. к. большинство управляющих команд дублируется злоумышленниками через СМС-канал, вредоносные приложения способны выполнять многие из своих функций даже при отсутствии интернет-соединения и связи с управляющим центром, что значительно увеличивает их вредоносный потенциал.

Источник: Itnews

Комментарии к этой новости временно закрыты.
Новости из зоны АТО
Политика и власть
События в обществе
Межбанк
USD EUR RUR
Покупка (грн.)
25.80 27.0960 0.3330
Продажа (грн.)
26.00 27.1430 0.3340
Политика и власть
Экономика и бизнес
Наука и технологии
Здоровье и красота
Новости спорта
Новости шоу-бизнеса
Новости Крыма
Новости партнеров