Специалисты компании Fortinet обнаружили нового банковского трояна для Android, который получил идентификатор Android/Banker.GT!tr.spy (далее просто Banker.GT). Пока малварь атакует исключительно пользователей приложений 15 различных мобильных банков Германии. Однако исследователи отмечают, что авторы трояна могут контролировать и изменять список атакуемых приложений, отправляя малвари соответствующие команды посредством C&C-сервера.

Поначалу Banker.GT маскируется под email-приложение, но как только троян обманом заставит пользователя выдать ему правда администратора, иконка «почтового клиента» пропадает из лаунчера, и вредонос продолжает свою деятельность скрытно, в фоновом режиме. Малварь требует у жертвы разрешений на чтение статуса устройства, контактов, может осуществлять звонки на произвольные номера, а также изменять настройки и читать/писать/отправлять/получать SMS-сообщения и так далее.

 

После установки вредонос запускает в системе три сервиса: GPService2, FDService и AdminRightsService. Сервис GPService2 мониторит все запущенные на устройстве процессы, а также осуществляет атаки на банковские приложения, выводя поверх экрана легитимной программы фишинговый оверлей. Banker.GT имеет собственные шаблоны для приложений каждого банка, чтобы пользователь точно ничего не заподозрил. Также сервис связывается с управляющим сервером для получения разных пейлоадов для приложений разных банков.

Более того, GPService2 используется и для обнаружения антивирусных приложений. Малварь не просто обходит защитные механизмы, но не дает им запускаться и работать. Полный список приложений, которые блокирует Banker.GT:

  • com.qihoo.security
    com.antivirus
    com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster
    com.antivirus.tabletcom.nqmobile.antivirus20
    com.kms.free
    com.drweb
    com.trustlook.antivirus
    com.eset.ems2.gp
    com.eset.ems.gp
    com.symantec.mobilesecurity
    com.duapps.antivirus
    com.piriform.ccleaner
    com.cleanmaster.mguard
    com.cleanmaster.security
    com.sonyericsson.mtp.extension.factoryreset
    com.anhlt.antiviruspro
    com.cleanmaster.sdk
    com.qihoo.security.lite
    oem.antivirus
    com.netqin.antivirus
    droiddudes.best.anitvirus
    com.bitdefender.antivirus
    com.dianxinos.optimizer.duplay
    com.cleanmaster.mguard_x8
    com.womboidsystems.antivirus.security.android
    com.nqmobile.antivirus20.clarobr
    com.referplish.VirusRemovalForAndroid
    com.cleanmaster.boost
    com.zrgiu.antivirus
    avg.antivirus

Компонент FDService тоже следит за всеми запущенными процессами и нацелен на определенные приложения. Исследователи пишут, что его главные цели – социальные сети и другое банковское ПО, неохваченное GPService2. Кроме того, FDService может выводить оверлей поверх окна Google Play, вынуждая жертву повторно ввести данные банковской карты.

Компонент AdminRightsService, как не трудно догадаться по его названию, создан для запрашивания привилегий администратора, во время первого запуска малвари.

Избавиться от малвари не слишком просто. Исследователи рекомендуют сначала отозвать права администратора (Settings -> Security -> Device administrators -> Device Admin -> Deactivate), а затем воспользоваться Android Debug Bridge и командой adb uninstall [packagename].

Фото: Depositphotos

Оставить мнение