Хотя специалисты Google уверяют, что официальный каталог приложений обеспечивает пользователям надежную защиту, к сожалению, это не означает, что вредоносных приложений там нет вовсе. К примеру, только на прошлой неделе стало известно, что два десятка приложений, суммарно установленные более 2 млн раз, содержали опасный бэкдор. Также в конце ноября 2018 года была обнаружена масштабная мошенническая схема, связанная с рекламой. По подсчетам ИБ-специалистов, в ней были задействованы приложения, насчитывающие более 2 млрд скачиваний.

Но в Google Play продолжают находить и более тривиальных вредоносов. Так, специалисты «Доктор Веб» рассказали о малвари Android.BankBot.495.origin, которая угрожала клиентам бразильских кредитных организаций. Этот банкер использовал специальные возможности (Accessibility Service) платформы Android. С их помощью он способен самостоятельно управлять зараженными устройствами и похищать конфиденциальные данные их владельцев.

Преступники распространяли трояна под видом приложений, якобы позволяющих следить за пользователями Android-смартфонов и планшетов. Малварь скрывалась в приложениях с названиями WLocaliza Ache Já, WhatsWhere Ache Já и WhatsLocal Ache Já. В настоящее время все они уже удалены из Google Play. Однако банкера успели загрузить более 2000 пользователей.

При запуске малварь пыталась получить доступ к функциям специальных возможностей (Accessibility) ОС Android, открывая меню системных настроек и предлагая пользователю активировать соответствующий параметр. Если потенциальная жертва согласится предоставить трояну запрошенные полномочия, банкер мог незаметно управлять программами, самостоятельно нажимать на кнопки и красть содержимое активных окон приложений.

Если пользователь давал банкеру разрешение на работу с функциями специальных возможностей, тот закрывал свое окно, запускал вредоносный сервис и с его помощью продолжал действовать в скрытом режиме. Затем троян запрашивал доступ к показу экранных форм поверх запущенных программ. Эта опция в дальнейшем необходима трояну для демонстрации фишинговых окон. Благодаря полученному ранее разрешению использовать специальные возможности банкер автоматически нажимал на все кнопки с текстом «PERMITIR» («Разрешить»), которые появлялись при запросе полномочий. В результате, если языком системы являлся португальский, банкер самостоятельно обеспечивал себе необходимые привилегии.

Кроме того, исследователи пишут, что вредоносное приложение использует функции специальных возможностей и для самозащиты, отслеживая работу ряда антивирусов и различных утилит. При их запуске банкер пытается закрыть их окна, четыре раза подряд нажимая кнопку «Назад».

Троян соединяется с управляющим сервером для приема первоначальных настроек и в невидимом окне WebView переходит по заданной его операторами ссылке. В результате нескольких перенаправлений на загруженном сайте троян получает конечную ссылку, в которой зашифрованы IP-адреса двух управляющих серверов. После малварь подключается к одному из них и принимает список с именами приложений. Троянц проверяет, какие из них установлены на устройстве, и уведомляет об этом сервер. Затем банкер поочередно отправляет несколько специальным образом сформированных запросов. В зависимости от настроек сервера в ответ вредонос получает команду на старт той или иной программы. На момент анализа специалистами «Доктор Веб» он мог запускать ПО кредитных организаций Banco Itaú S.A. и Banco Bradesco S.A., а также установленное по умолчанию приложение для работы с SMS.

При запуске программы Banco Itaú троян с использованием функции специальных возможностей считывал содержимое ее окна и передавал злоумышленникам информацию о балансе банковского счета пользователя. Затем он самостоятельно выполнял навигацию внутри приложения и переходил в раздел управления учетной записью. Там малварь копировала и отправляла своим разработчикам ключ iToken – код безопасности, который используется для проверки электронных транзакций.

После запуска приложения Bradesco банкер считывал информацию об аккаунте жертвы и пытался автоматически войти в него, вводя полученный от управляющего сервера PIN-код. Троня копировал данные о сумме на счете пользователя и вместе с полученными ранее сведениями об учетной записи передавал их преступникам.

Получив команду на запуск приложения для работы с SMS, банкер открывал его, считывал и сохранял текст доступных сообщений и отправлял их на сервер. При этом он выделял SMS-сообщения, поступившие от банка CaixaBank, S.A., и передавал их отдельным запросом.

Кроме того, авторы малвари использовали банкера для проведения фишинговых атак. Троян отслеживал запуск программ Itaucard Controle seu cartão, Banco do Brasil, Banco Itaú, CAIXA, Bradesco, Uber, Netflix и Twitter. Если одно из этих приложений начало работу, банкер отображал поверх него окно с мошеннической веб-страницей, которая загружалась со второго управляющего сервера. Эта страница имитировала внешний вид атакуемого приложения. На ней у пользователя могла быть запрошена информация об учетной записи, номере банковского счета, сведения о банковской карте, логины, пароли и другие секретные данные. Примеры таких фишинговых страниц показаны ниже.

Введенная жертвой конфиденциальная информация передавалась злоумышленникам, после чего троян закрывал мошенническое окно и повторно запускал атакуемую программу. Это делалось для того, чтобы не вызвать у владельца устройства подозрений при сворачивании или закрытии целевого приложения.

Оставить мнение