Специалисты компании «Доктор Веб» предупреждают, что месяц назад на одном хакерском форуме был свободно опубликован исходный код банковского трояна для Android, вместе с инструкциями по его использованию. Эксперты уже обнаружили малварь, созданную на базе этих исходников, и полагают, что в дальнейшем количество Android-банкеров и совершаемых с их помощью атак будет расти.

Малварь, написанная с использованием опубликованных недавно исходников, получила идентификатор Android.BankBot.149.origin. Исследователи пишут, что вредонос распространяется под видом различных безобидных программ. После того как владелец смартфона или планшета устанавливает и запускает малварь, троян запрашивает доступ к функциям администратора, чтобы усложнить свое удаление. Затем он прячется от пользователя, скрывая свой значок с главного экрана. Троян может выполнять следующие действия:

  • отправлять СМС-сообщения;
  • перехватывать СМС-сообщения;
  • запрашивать права администратора;
  • выполнять USSD-запросы;
  • получать из телефонной книги список номеров всех имеющихся контактов;
  • рассылать СМС с полученным в команде текстом по всем номерам из телефонной книги;
  • отслеживать местоположение устройства через спутники GPS;
  • запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку СМС-сообщений, выполнение звонков, доступ к телефонной книге и работу с GPS-приемником;
  • получать конфигурационный файл со списком атакуемых банковских приложений;
  • показывать фишинговые окна.

Работа Android.BankBot.149.origin мало отличается от других банковских троянов. Как и другие подобные угрозы, малварь похищает конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Изученный аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только вредонос обнаруживает, что одна из таких программ начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля и показывает ее поверх атакуемого приложения.

Помимо кражи логинов и паролей малварь также пытается похитить информацию о банковской карте владельца зараженного мобильного устройства. Для этого троян отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и отображает поверх фишинговое окно настроек платежного сервиса каталога Google Play.

При поступлении SMS-сообщения Android.BankBot.149.origin отключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные сообщения из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.

Всю украденную информацию вредонос загружает на управляющий сервер, где она становится доступна в панели администрирования.



3 комментария

  1. coolmarat

    24.01.2017 at 09:46

    где же ссылка на исходники?)?)?)

    • NightSun

      24.01.2017 at 17:56

      Как всегда… всё самое вкусное не выложили 🙁

      • maroder74

        29.01.2017 at 10:37

        Это обычный Ganja Mazar Bot,его исходники бог знает с какого времени лежат на гитхабе,плюс существуют его модификации. Для его работы нужен линуксоидный сервер для установки панели администратора. Он стар как динозавр и уже не актуален,особенно после выхода Андроид 4.3 и выше.

Оставить мнение