Донецкий техникум промышленной автоматики

Старий банківський троян полює за кріптовалютнимі гаманцями

Компанія «Доктор Веб» зафіксувала новий тип вірусу, що надає зловмисникам доступ до смартфону і показує підроблені форми авторизації при запуску програм для роботи з криптовалюта. Шкідливий, який отримав назву Android.BankBot.325.origin, заснований на старому банківському трояни, який був виявлений фахівцями «Доктора Веба» ще в січні 2016 року.

origin, заснований на старому банківському трояни, який був виявлений фахівцями «Доктора Веба» ще в січні 2016 року

Панель адміністрування керуючого сервера, через який хакери віддають команди вірусу


Раніше зловмисники, які створили «Банкер» Android.BankBot.149.origin, опублікували вихідний код свого шкідливий у відкритий доступ. Завдяки цьому, хакери з усього світу створили безліч схожих «троянців», принцип дії яких заснований на оригінальному зловредів. Одним з таких став Android.BankBot.250.origin, який у міру свого розвитку отримав модифікацію під назвою Android.BankBot.325.origin. Одними з головних його нововведень стали функція віддаленого адміністрування і доступ до призначених для користувача файлів в пам'яті зараженого пристрою.

Інтерфейси налаштувань фішингових повідомлень і підроблених форм авторизації відповідно


Одна з останніх модифікацій Android.BankBot.325.origin дозволяє зловмисникам відправляти на гаджети користувачів фейковий повідомлення, при переході за якими відкриваються підроблені форми авторизації на популярних сервісах - в їх число входять і додатки для роботи з криптовалюта. Даний вірус унікальний тим, що він намагається вкрасти конфіденційні дані за допомогою форм авторизації, максимально схожих на такі в оригінальних додатках. Повний функціонал шкідливий виглядати наступним чином:

  • відправка СМС з заданим текстом на вказаний в команді номер;
  • виконання USSD-запитів;
  • запуск програм;
  • зміна адреси керуючого сервера;
  • відправка на керуючий сервер копій зберігаються на пристрої СМС;
  • отримання інформації про встановлені додатках;
  • перехоплення вводяться на клавіатурі символів (кейлоггер);
  • запит додаткових дозволів для роботи;
  • показ діалогових вікон із заданим в команді вмістом;
  • показ push-повідомлень, вміст яких вказується в команді;
  • показ push-повідомлення, вміст якого задано в коді «троянця»;
  • відправка на сервер всіх номерів з телефонної книги;
  • розсилка СМС по всіх номерах в телефонній книзі
  • блокування екрану пристрою вікном WebView, в якому демонструється вміст отриманої від сервера веб-сторінки;
  • запит доступу до функцій спеціальних можливостей (Accessibility Service);
  • переадресація телефонних дзвінків;
  • відкриття в браузері заданих в командах веб-сайтів;
  • відкриття посилань на веб-сторінки з використанням WebView;
  • шифрування файлів і вимога викупу;
  • розшифровка файлів;
  • запис оточення з використанням мікрофона пристрої;
  • отримання доступу до інформації про пристрій і його місцезнаходження;
  • отримання IP-адреси пристрою;
  • очищення конфігураційного файлу і зупинка роботи «троянця».

Приклади підроблених вікон авторизації


Згідно зі звітом компанії «Доктор Веб», Android.BankBot.325.origin атакує в основному жителів України, Росії, Туреччини, Англії, Німеччини, Франції, Індії, США, Гонконгу, Угорщини, Ізраїлю, Японії, Нової Зеландії, Кенії, Польщі та Румунії.