Троянец против клиентов Сбербанка

--> Дата: Апр 11, 2018 48

По сообщению компании «Доктор Веб», ее вирусные аналитики зафиксировали распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп.

Android.BankBot.358.origin известен специалистам «Доктор Веб» с конца 2015 г. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 тыс. мобильных устройств.

Банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке, чтобы ознакомиться с ответом на объявление. Кроме того, владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке.

При переходе по ссылке из сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito. Некоторые модификации банкера могут распространяться под видом других программ, например, ПО для работы с платежными системами Visa и Western Union.

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. Некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также код CVV. Без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам.

На момент публикации материала «Доктор Веб» существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации.

Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо проверить устройство антивирусом и удалить троянца с мобильного устройства.

Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона.

Некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.

Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия, в том числе загружать собственные обновления; создавать поддельные входящие СМС-сообщения; получать информацию о контактах из телефонной книги; рассылать СМС-сообщения по всем номерам из телефонной книги или по указанным в командах номерам; загружать заданные мошенниками сайты; отправлять на сервер хранящиеся на устройстве СМС-сообщения.