Вірусописьменники опублікували вихідний код нового шкідливого програми лише місяць тому, проте фахівці компанії «Доктор Веб» вже виявили Android-Банкера, створеного на основі наданої кіберзлочинцями інформації. Цей троян, який отримав ім'я Android.BankBot.149.origin, поширюється під виглядом нешкідливих програм. Після того як користувач смартфона або планшета встановлює і запускає даний троян, Банкер запитує доступ до функцій адміністратора мобільного пристрою, щоб ускладнити своє видалення. Потім він ховається від користувача, прибираючи свій значок на головному екрані. Далі вірус підключається до керуючого сервера і очікує від нього команд.
Троян може виконувати наступні дії: відправляти СМС-повідомлення; перехоплювати СМС-повідомлення; запитувати права адміністратора; виконувати USSD-запити; отримувати з телефонної книги список номерів усіх наявних контактів; розсилати СМС з отриманим в команді текстом по всіх номерах в телефонній книзі відстежувати місце розташування пристрою через супутники GPS; запитувати на пристроях з сучасними версіями ОС Android додатковий дозвіл на відправку СМС-повідомлень, виконання дзвінків, доступ до телефонної книги і роботу з GPS-приймачем; отримувати конфігураційний файл зі списком атакованих банківських додатків; показувати фішингові вікна.
Як і багато сучасних Android-Банкер, виявлений троян краде у користувачів конфіденційну інформацію, відстежуючи запуск додатків «банк-клієнт» і ПО для роботи з платіжними системами. Досліджений вірусними аналітиками «Доктор Веб» зразок контролює запуск більше трьох десятків таких програм. Як тільки вірус виявляє, що одна з них почала роботу, він завантажує з керуючого сервера відповідну фішингову форму введення логіна і пароля для доступу до облікового запису банку і показує її поверх атакується додатки.
Крім крадіжки логінів та паролів троян намагається викрасти інформацію про банківську карту власника зараженого мобільного пристрою. Для цього вірус відстежує запуск популярних додатків, таких як Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter і Play Маркет, і показує поверх них фішингових вікно налаштувань платіжного сервісу каталогу Google Play. При надходженні СМС троян вимикає всі звукові і вібросигнали, відправляє вміст повідомлень зловмисникам і намагається видалити перехоплені СМС зі списку входять. В результаті користувач може не тільки не отримати повідомлення від кредитних організацій з інформацією про незаплановані операціях з грошима, але і не побачить інші повідомлення, які приходять на його номер.
Всі вкрадені дані завантажуються на керуючий сервер і доступні в панелі адміністрування. З її допомогою кіберзлочинці не тільки отримують цікаву для них інформацію, а й керують шкідливим додатком. В цілому можливості цього трояна є цілком стандартними для сучасних Android-Банкер. Однак оскільки кіберзлочинці створили його з використанням доступною будь-якому бажаючому інформації, можна очікувати появи безлічі нових аналогічних троянів.
За матеріалами «Доктор Веб»
Запрошуємо Вас взяти участь в нашому Форумі «Дистанційні сервіси, мобільні рішення, карти і платежі» , Присвячений аналізу сучасного стану та перспектив розвитку банкінгу та платіжної індустрії в Росії і інших країнах світу. Форум пройде в Москві 7-8 червня 2017 року.
Додаткова інформація доступна по засланні .
Зареєструватися на Форум можна тут .
Слідкуйте за нашими новинами в Facebook або Twitter .
Будемо раді зустрічі з Вами на Форумі!