Android-троянец: атака на клиентов банков

--> Дата: Май 18, 2016 45

По информации компании «Доктор Веб», вирусописатели усовершенствовали функционал программы Android.SmsSpy.88.origin, банковского троянца для ОС Android, сделав его более опасным и добавив функции троянца-вымогателя. Банковские троянцы, заражающие мобильные устройства под управлением ОС Android, представляют собой одну из главных угроз для пользователей, поскольку способны украсть все деньги со счетов своих жертв.

Первые версии программы Android.SmsSpy.88.origin, об одной из которых компания «Доктор Веб» впервые сообщила в апреле 2014 г., были довольно примитивными. Изначально злоумышленники использовали троянца для перехвата СМС-сообщений с одноразовыми банковскими паролями, а также для незаметной отправки СМС и выполнения телефонных звонков. Позднее его возможности были усовершенствованы за счет функционала для кражи информации о кредитных картах. В частности, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных российских банков троянец показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам.

Все ранние модификации троянца атаковали только пользователей из России и ряда стран СНГ, а распространялся Android.SmsSpy.88.origin посредством СМС-спама. Позднее число атак с использованием этого банкера значительно сократилось, однако с конца 2015 г. вирусные аналитики «Доктор Веб» начали фиксировать распространение новых, более функциональных версий троянца, которые в отличие от ранних модификаций предназначались для заражения Android-смартфонов и планшетов по всему миру.

Как и прежде, это вредоносное приложение попадает на мобильные устройства под видом безобидных программ, например, проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора мобильного устройства, чтобы затруднить свое удаление из зараженной системы. Далее троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора. Таким образом вредоносное приложение пытается обеспечить постоянную связь с управляющим сервером. Затем банкер формирует для зараженного устройства уникальный идентификатор, который вместе с другой технической информацией передается на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета.

Основная задача новых модификаций Android.SmsSpy.88.origin – похитить логины и пароли от учетных записей мобильного банкинга и передать их киберпреступникам, а также незаметно украсть деньги со счетов пользователей. Для этого банкер отслеживает запуск приложений типа «банк-клиент», список которых хранится в конфигурационном файле. Число контролируемых приложений в различных модификациях троянца может различаться, однако общее их количество, которое установили вирусные аналитики «Доктор Веб», на данный момент приближается к 100.

После того как владелец устройства запускает одно из атакуемых приложений, Android.SmsSpy.88.origin при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учетной записи мобильного банкинга. Как только пользователь предоставляет троянцу информацию, она незаметно передается злоумышленникам, и те получают полный контроль над всеми счетами жертвы.

Одна из главных особенностей Android.SmsSpy.88.origin в том, что с использованием этого троянца киберпреступники могут атаковать клиентов фактически любого банка. Для этого им необходимо лишь создать новый шаблон мошеннической формы аутентификации и отдать вредоносному приложению команду на обновление конфигурационного файла, в котором будет указано название банковского клиентского ПО соответствующей кредитной организации.

Помимо кражи логинов и паролей для доступа к банковским учетным записям новая версия троянца по-прежнему пытается похитить у пользователей информацию и об их кредитных картах. Для этого Android.SmsSpy.88.origin отслеживает запуск целого ряда популярных приложений, а также некоторых системных программ, и после того как это ПО начинает работу, показывает поверх его окна фишинговую форму настроек платежного сервиса Google Play.

Троянец способен выполнять и другие вредоносные действия: в частности, по команде киберпреступников он может перехватывать и отсылать СМС- и MMS-сообщения, отправлять USSD-запросы, рассылать СМС по всем номерам из телефонной книги, передавать на сервер все имеющиеся сообщения, установить пароль на разблокировку экрана или заблокировать экран специально сформированным окном. Получив команду на блокировку, троянец загружает с управляющего сервера заранее подготовленный шаблон окна с текстом, в котором жертву обвиняют в незаконном хранении и распространении порнографии и требуют в качестве штрафа оплатить подарочную карту музыкального сервиса iTunes.

Таким образом, Android.SmsSpy.88.origin несет в себе не только возможности банковского троянца и реализует шпионские функции, но может использоваться злоумышленниками и в качестве троянца-вымогателя. Ко всему прочему обновленный Android.SmsSpy.88.origin обладает и функцией самозащиты: вредоносное приложение пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься.

С начала 2016 г. специалисты «Доктор Веб» получили доступ к более чем 50 бот-сетям, которые состояли из мобильных устройств, зараженных различными модификациями Android.SmsSpy.88.origin. Проведенное исследование установило, что киберпреступники атаковали пользователей более чем в 200 странах, а общее подтвержденное число инфицированных устройств достигло почти 40 тыс.