Больше банковских троянцев для Android
По сообщению компании «Доктор Веб», недавно на одном из хакерских форумов в свободном доступе появился исходный код одного из банковских троянцев для ОС Android вместе с инструкциями по его использованию. Поскольку обычно такие вредоносные программы продаются как коммерческие продукты через подпольные интернет-площадки, вирусные аналитики компании полагают, что это может привести к значительному увеличению количества Android-банкеров и росту числа совершаемых с их помощью атак.
Вирусописатели опубликовали исходный код нового вредоносного приложения лишь месяц назад, однако специалисты «Доктор Веб» уже обнаружили Android-банкера, созданного на основе предоставленной информации. Троянец, получивший имя Android.BankBot.149.origin, распространяется под видом безобидных программ. Будучи установлен запущен на смартфоне или планшете, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана.
Далее Android.BankBot.149.origin подключается к управляющему серверу и ожидает от него команд. Троянец может выполнять следующие действия:
- отправлять и перехватывать СМС-сообщения;
- запрашивать права администратора;
- выполнять USSD-запросы;
- получать из телефонной книги список номеров всех имеющихся контактов;
- рассылать СМС с полученным в команде текстом по всем номерам из телефонной книги;
- отслеживать местоположение устройства через спутники GPS;
- запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку СМС-сообщений, выполнение звонков, доступ к телефонной книге и работу с GPS-приемником;
- получать конфигурационный файл со списком атакуемых банковских приложений;
- показывать фишинговые окна.
Как и многие современные Android-банкеры, Android.BankBot.149.origin крадет конфиденциальную информацию пользователей, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный аналитиками образец контролирует запуск более трех десятков таких программ. Как только Android.BankBot.149.origin обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения.
Помимо логинов и паролей троянец пытается похитить информацию о банковской карте владельца мобильного устройства. Для этого Android.BankBot.149.origin отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play.
При поступлении СМС троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные СМС из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер. Все украденные Android.BankBot.149.origin данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью киберпреступники не только получают информацию, но и управляют вредоносным приложением.
В целом возможности этого троянца вполне стандартны для современных Android-банкеров. Однако поскольку он создан с использованием доступной любому желающему информации, можно ожидать появления множества новых аналогичных троянцев, считают в «Доктор Веб».