Обнаружен похищающий деньги пользователей Android-троянец

Вредоносная программа крадет личную информацию владельцев мобильных устройств

Специалисты компании «Доктор Веб» провели исследование троянца, который применяется для заражения мобильных устройств, работающих под управлением системы Android, сообщается на сайте антивирусной компании.

Вредоносная программа называется Android.BankBot.34.origin и может красть личную информацию владельцев смартфонов и планшетных компьютеров. Кроме того, она способна похищать денежные средства со счетов мобильных телефонов и банковских счетов своих жертв.

Отмечается, что вредоносную деятельность данное ПО может начинать только после установки в систему самим владельцем. Чтобы повысить вероятность установки и запуска троянца, авторы распространяют его под видом системного обновления, а также снабжают его ярлыком одной из популярных программ (выбор приложения для имитации может быть любым).

После установки Android.BankBot.34.origin размещает на главном экране свой ярлык, который может располагаться по соседству с ярлыком оригинальной программы (если она уже имеется в системе). Неопытные пользователи вполне могут спутать приложения и таким образом случайно запустить троянца вместо настоящего программного обеспечения.

В случае если жертва самостоятельно не активирует вредоносное приложение после его установки, то запуск троянца все равно произойдет, так как в нем предусмотрена автоматическая загрузка при каждом включении системы.

После инициализации вредоносное ПО запрашивает у пользователя доступ к функциям администратора устройства (в некоторой степени это позволяет вредоносному приложению затруднить его удаление), а также удаляет созданный ранее ярлык в случае если запуск производился самим владельцем устройства.

По словам специалистов, Android.BankBot.34.origin способен реализовать на зараженном устройстве два типа атаки.

Первый из них напрямую зависит от поведения самого пользователя и активируется тогда, когда жертва пытается запустить одно из интересующих злоумышленников приложений. Если пользователь инфицированного смартфона или планшета запустит подобную программу, то Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации (номер телефона, логин, пароль или данные о кредитной карте). При этом отмечается, что для каждого из этих приложений троянец довольно правдоподобно имитирует соответствующую форму запроса.

Подобным образом киберпреступники атакуют следующие мобильные приложения:
- Gmail;
- Google Play;
- Google Play Music;
- Instagram;
- Skype;
- Viber;
- Twitter;
- WhatsApp;
- Facebook;
- «Одноклассники»;
- «Вконтакте»;

Разумеется, что введенная пользователем информация передается на управляющий сервер.

Что касается второго типа атаки, то он не зависит от совершаемых действий пользователем, а происходит в соответствии с указаниями злоумышленников, которые поступают от удаленного узла.

В частности, по команде Android.BankBot.34.origin способен выполнить такие операции, как:
- внести в черный список номер телефона; сообщения с него будут скрываться от пользователя (по умолчанию — это сервисные номера телефонных операторов, системы мобильного банкинга и платежной платформы);
- начать/прекратить перехват входящих и исходящих СМС;
- отправить СМС-сообщение;
- выполнить USSD-запрос;
- очистить список блокируемых номеров;
- передать на сервер идентификатор вредоносной программы или информацию об установленных приложениях;
- отобразить на экране устройства диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами.

Эксперты отмечают, что адрес основного управляющего сервера находится в анонимной сети Tor, а соединение по защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Это обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Перехват СМС-сообщений позволяет злоумышленникам использовать Android.BankBot.34.origin в качестве банковского троянца для похищения денежных средств со счетов пользователей. Похитить деньги с мобильного счета они могут при помощи USSD-команд (переводят определенную сумму на свой номер).

По данным источника, список атакуемых мобильных операторов и кредитных организаций почти никак не ограничен и зависит от текущих потребностей создателей вредоносной программы. Наибольшему риску подвержены клиенты банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, которые предоставляют функцию мобильного перевода со счетов телефонов.

Также создатели Android.BankBot.34.origin могут отдать «приказ» троянцу от имени банка вывести на экран жертвы запрос ввода пароля для доступа к учетной записи онлайн-банкинга и таким образом получить контроль над всеми счетами.