Компанія «Доктор Веб» зафіксувала новий тип вірусу, що надає зловмисникам доступ до смартфону і показує підроблені форми авторизації при запуску програм для роботи з криптовалюта. Шкідливий, який отримав назву Android.BankBot.325.origin, заснований на старому банківському трояни, який був виявлений фахівцями «Доктора Веба» ще в січні 2016 року.
Панель адміністрування керуючого сервера, через який хакери віддають команди вірусу
Раніше зловмисники, які створили «Банкер» Android.BankBot.149.origin, опублікували вихідний код свого шкідливий у відкритий доступ. Завдяки цьому, хакери з усього світу створили безліч схожих «троянців», принцип дії яких заснований на оригінальному зловредів. Одним з таких став Android.BankBot.250.origin, який у міру свого розвитку отримав модифікацію під назвою Android.BankBot.325.origin. Одними з головних його нововведень стали функція віддаленого адміністрування і доступ до призначених для користувача файлів в пам'яті зараженого пристрою.
Інтерфейси налаштувань фішингових повідомлень і підроблених форм авторизації відповідно
Одна з останніх модифікацій Android.BankBot.325.origin дозволяє зловмисникам відправляти на гаджети користувачів фейковий повідомлення, при переході за якими відкриваються підроблені форми авторизації на популярних сервісах - в їх число входять і додатки для роботи з криптовалюта. Даний вірус унікальний тим, що він намагається вкрасти конфіденційні дані за допомогою форм авторизації, максимально схожих на такі в оригінальних додатках. Повний функціонал шкідливий виглядати наступним чином:
- відправка СМС з заданим текстом на вказаний в команді номер;
- виконання USSD-запитів;
- запуск програм;
- зміна адреси керуючого сервера;
- відправка на керуючий сервер копій зберігаються на пристрої СМС;
- отримання інформації про встановлені додатках;
- перехоплення вводяться на клавіатурі символів (кейлоггер);
- запит додаткових дозволів для роботи;
- показ діалогових вікон із заданим в команді вмістом;
- показ push-повідомлень, вміст яких вказується в команді;
- показ push-повідомлення, вміст якого задано в коді «троянця»;
- відправка на сервер всіх номерів з телефонної книги;
- розсилка СМС по всіх номерах в телефонній книзі
- блокування екрану пристрою вікном WebView, в якому демонструється вміст отриманої від сервера веб-сторінки;
- запит доступу до функцій спеціальних можливостей (Accessibility Service);
- переадресація телефонних дзвінків;
- відкриття в браузері заданих в командах веб-сайтів;
- відкриття посилань на веб-сторінки з використанням WebView;
- шифрування файлів і вимога викупу;
- розшифровка файлів;
- запис оточення з використанням мікрофона пристрої;
- отримання доступу до інформації про пристрій і його місцезнаходження;
- отримання IP-адреси пристрою;
- очищення конфігураційного файлу і зупинка роботи «троянця».
Приклади підроблених вікон авторизації
Згідно зі звітом компанії «Доктор Веб», Android.BankBot.325.origin атакує в основному жителів України, Росії, Туреччини, Англії, Німеччини, Франції, Індії, США, Гонконгу, Угорщини, Ізраїлю, Японії, Нової Зеландії, Кенії, Польщі та Румунії.