"Доктор Веб" обнаружил новые версии банковских троянов Android.BankBot
27 апр 2015 14:00 #14738
от ICT
Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянов семейства Android.BankBot, атакующих клиентов банков множества стран. Некоторые модификации этих троянов, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ, сообщили CNews в «Доктор Веб». Трояны семейства Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 г., когда МВД России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций, рассказали в компании. Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянов другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров. Так, совсем недавно вирусные аналитики «Доктор Веб» обнаружили несколько подобных троянов, среди которых Android.BankBot.43 и Android.BankBot.45. Они распространяются под видом легального ПО, такого как игры, медиаплееры или обновления операционной системы, и благодаря применению злоумышленниками различных методов социальной инженерии опрометчиво устанавливаются на Android-смартфоны и планшеты самими же пользователями. Запустившись в зараженной системе, трояны Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, которые дают им расширенные возможности, включая способность препятствовать их удалению. По информации «Доктор Веб», в процессе получения необходимых прав вредоносные программы используют весьма интересный механизм. В частности, они отображают поверх стандартного системного диалогового окна собственное сообщение, которое закрывает собой настоящее уведомление операционной системы и предлагает установить некие «дополнения». Соглашаясь с предложенным действием, пользователь на самом деле добавляет троянов в список администраторов мобильного устройства, так как при нажатии кнопки «Продолжить», происходит активация скрытой за мошенническим окном оригинальной функции ОС. В то же время, при попытке удаления троянов Android.BankBot процедура исключения их из списка администраторов пресекается демонстрацией специального сообщения, в результате чего деинсталляция вредоносных приложений стандартными средствами системы становится невозможной. После получения необходимых полномочий данные трояны устанавливают связь с управляющим сервером и ожидают поступления дальнейших указаний. В частности, они способны выполнить следующие действия по команде с сервера: позвонить на указанный в команде номер; использовать для связи с управляющим сервером полученный в команде веб-адрес; выполнить указанный в команде USSD-запрос; отправить на сервер все входящие и исходящие SMS-сообщения; выполнить сброс настроек устройства с удалением всех данных пользователя; отправить SMS-сообщение с заданными параметрами; отправить на сервер подробную информацию о зараженном устройстве; осуществить поиск файла в соответствии с полученным в команде именем; использовать заданный телефонный номер для получения дублирующих команд. Поскольку большинство управляющих команд дублируется злоумышленниками через SMS-канал, вредоносные приложения способны выполнять многие из своих функций даже при отсутствии интернет-соединения и связи с управляющим центром, что увеличивает их вредоносный потенциал, подчеркнули в компании. Основное предназначение троянов семейства Android.BankBot — кража конфиденциальных банковских сведений пользователей и хищение их денежных средств. Для этого вредоносные приложения атакуют установленные на мобильных устройствах пользователей программы типа «Банк-Клиент» ряда кредитных организаций, а также программу «Play Маркет» (Play Store). В частности, после запуска потенциальной жертвой целевых банковских программ-клиентов трояны подделывают внешний вид данных приложений, отображая на экране фальшивую форму ввода аутентификационных данных. Если же пользователь запускает приложение «Play Маркет», они имитируют стандартную форму добавления к учетной записи пользователя реквизитов его банковской карты. При этом вредоносные приложения фактически заставляют своих жертв ввести необходимые данные, поскольку демонстрируемое диалоговое окно невозможно закрыть, и работа с каталогом Google Play блокируется. Полученные таким обманным способом конфиденциальные сведения в дальнейшем передаются на управляющий сервер, после чего киберпреступники беспрепятственно могут совершать хищение денег со счетов пользователей, так как все поступающие от системы безопасности банков SMS-сообщения с кодами подтверждения перехватываются вредоносными приложениями. Однако это — не единственная опасность, исходящая от троянов семейства Android.BankBot. Так, многие из них способны нарушать работу ряда популярных антивирусных приложений в момент, когда те выполняют попытку удаления банкеров с зараженных мобильных устройств, указали в «Доктор Веб». Компания выпустила специальное обновление для своих антивирусных продуктов для ОС Android, в котором был реализован механизм противодействия подобным атакам, поэтому современные банковские трояны Android.BankBot более не представляют серьезной опасности для пользователей решений «Доктор Веб». Для владельцев Android-смартфонов и планшетов с установленными антивирусными продуктами Dr.Web обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти в каталог Google Play, выбрать в списке приложений соответствующую версию инсталлированного «Антивируса Dr.Web для Android» и нажать на кнопку «Обновить». Для обновления через сайт «Доктор Веб» необходимо скачать новый дистрибутив программы.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Доктор Веб»: троянец Android.BankBot.149.origin стал оружием киберпреступников | 19.86 | Вторник, 20 марта 2018 |
Android-пользователи могут столкнуться с атаками банковских троянов | 19.24 | Понедельник, 23 января 2017 |
«Доктор Веб» обнаружил троянцев в прошивках популярных Android-устройств | 17.91 | Понедельник, 12 декабря 2016 |
«Доктор Веб» обнаружил Android-программу для показа рекламы поверх большинства запускаемых приложений | 17.36 | Четверг, 26 ноября 2015 |
В «Доктор Веб» ожидают усиления атак банковских троянцев на Android-устройства | 16.84 | Пятница, 20 января 2017 |
Check Point: активность банковских троянов увеличилась на 50% | 15.33 | Четверг, 12 июля 2018 |
Check Point зафиксировал рост активности банковских троянов | 15.16 | Понедельник, 17 сентября 2018 |
«Доктор Веб» обнаружил многофункциональный бэкдор для Linux | 14.14 | Пятница, 22 января 2016 |
«Доктор Веб» обнаружил более 500 мошеннических сайтов | 14.14 | Среда, 15 марта 2017 |
«Доктор Веб» обнаружил новый бэкдор для Linux | 14.14 | Понедельник, 20 ноября 2017 |