Новый банковский троян угрожает южнокорейским пользователям Android

05 дек 2014 12:33 #1408 от ICT
Компания «Доктор Веб» обнаружила нового банковского трояна, атакующего южнокорейских пользователей Android. Данная вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.BankBot.35.origin, представляет весьма серьезную угрозу: она пытается заменить настоящие приложения типа «банк-клиент» их поддельными копиями и способна красть конфиденциальную информацию, сообщили CNews в «Доктор Веб». Android.BankBot.35.origin распространяется злоумышленниками в составе другой вредоносной программы, внесенной в вирусную базу как Android.MulDrop.46.origin. Данный троян представляет собой дроппера и может быть загружен пользователями под видом различных приложений. В частности, известны случаи, когда Android.MulDrop.46.origin выдается киберпреступниками за популярный веб-браузер. После того как дроппер установлен на Android-смартфон или планшет, он может быть инициализирован как самим владельцем мобильного устройства (при нажатии на созданный трояном ярлык), так и автоматически — при очередной разблокировке экрана или загрузке операционной системы. Если Android.MulDrop.46.origin был запущен пользователем, вредоносная программа запрашивает у него доступ к функциям администратора мобильного устройства, после чего удаляет свой ярлык. В дальнейшем троян функционирует в качестве системного сервиса и становится «невидимым» для владельца мобильного устройства. Вслед за успешной инициализацией дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл трояна Android.BankBot.35.origin, который затем загружается в оперативную память при помощи класса DexClassLoader, позволяющего Android-приложениям (в данном случае — дропперу Android.MulDrop.46.origin) без участия пользователя и предварительной установки запускать дополнительные программные модули. Получив управление, Android.BankBot.35.origin переходит в ждущий режим и периодически проверяет наличие на инфицированном устройстве ряда приложений типа «банк-клиент», принадлежащих нескольким южнокорейским кредитным организациям. Если одна из этих программ обнаруживается, троян загружает с удаленного узла соответствующее ей приложение-имитацию, после чего пытается установить его вместо оригинала. Для этого Android.BankBot.35.origin демонстрирует на экране зараженного устройства сообщение с призывом выполнить инсталляцию якобы новой версии банковского клиента. Если пользователь согласится на установку этого «обновления», троян инициализирует стандартный системный процесс удаления настоящего приложения, после чего приступит к инсталляции подделки, рассказали в «Доктор Веб». Каждое из загружаемых Android.BankBot.35.origin поддельных банковских приложений представляет собой не что иное, как модификацию трояна Android.Banker.46.origin. Эта вредоносная программа позволяет киберпреступникам получить доступ к управлению банковскими счетами южнокорейских пользователей, что может привести к незапланированным финансовым операциям и даже потере всех их денежных средств. Чтобы похитить всю необходимую конфиденциальную информацию, Android.Banker.46.origin имитирует интерфейс настоящих приложений типа «банк-клиент» и запрашивает у своих жертв ввод таких данных, как логин и пароль от учетной записи онлайн-банкинга, номер счета и банковской карты, сведения об используемом цифровом сертификате, обеспечивающем безопасные транзакции, а также другие секретные сведения.
Вложенный файл:

Пример имитации банковского приложения, реализуемой трояном Android.Banker.46.origin Наряду с заменой настоящих приложений системы «банк-клиент» их троянскими копиями, Android.BankBot.35.origin способен также совершать и другие нежелательные для пользователей действия. В частности, по команде с управляющего сервера вредоносная программа может: отправить SMS-сообщение с заданным текстом на указанный номер; включить или выключить передатчик Wi-Fi; загрузить на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера); загрузить с удаленного узла и запустить заданный злоумышленниками dex-файл. Для запуска загруженного dex-файла троян задействует соответствующий функционал дроппера Android.MulDrop.46.origin, используемый для инициализации самого Android.BankBot.35.origin. Таким образом, эта вредоносная программа реализует модульную архитектуру и, в зависимости от потребностей создавших ее вирусописателей, способна значительно расширить свои возможности, указали в «Доктор Веб». Помимо кражи сведений о контактах пользователя, в процессе своей работы троян также может передать на управляющий сервер и другую конфиденциальную информацию, например, номер телефона жертвы, название модели инфицированного мобильного устройства, сведения о версии операционной системы, типе используемой мобильной и Wi-Fi-сети и некоторые другие данные. Кроме того, Android.BankBot.35.origin способен перехватывать и удалять SMS-сообщения, поступающие с определенных номеров, информация о которых хранится в черном списке трояна. По словам экспертов компании, вредоносная программа обладает интересным механизмом самозащиты. Так, если троян фиксирует на зараженном смартфоне или планшете запуск популярного южнокорейского антивируса, Android.BankBot.35.origin блокирует его инициализацию и возвращает пользователя к главному экрану операционной системы. Аналогичная блокировка распространяется и на стандартный системный менеджер приложений, а также функцию управления администраторами устройства. Поэтому, если защита трояна активирована, пользователи зараженных смартфонов и планшетов фактически лишаются возможности управлять всеми установленными программами. Вместе с тем, подобный защитный механизм не срабатывает, если в системе все еще присутствует хотя бы один из оригинальных банковских клиентов, которые вредоносная программа не успела заменить, либо если троян не получил доступ к функциям администратора мобильного устройства. Чтобы не стать жертвой вредоносных программ, владельцы мобильных Android-устройств должны избегать установки приложений, полученных не из каталога Google Play. Кроме того, им рекомендуется установить защитное ПО. По информации «Доктор Веб», «Антивирус Dr.Web для Android» и «Антивирус Dr.Web для Android Light» обнаруживают и нейтрализуют описанных троянов, поэтому для пользователей данных продуктов они не представляют опасности. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Новый вирус Expensive Wall угрожает пользователям Android21.31Понедельник, 18 сентября 2017
    Новый банковский троян крадет деньги россиян в обход защиты Android21.21Среда, 07 сентября 2016
    «Доктор Веб» исследовал новый банковский троян для Windows17.78Понедельник, 13 февраля 2017
    Avast обнаружил новый банковский троян Catelites Bot17.78Четверг, 21 декабря 2017
    Эксперты ESET нашли банковский троян в магазине приложений для Android17.73Среда, 09 августа 2017
    Новый бэкдор угрожает пользователям Windows17.62Среда, 08 апреля 2015
    Новый троян-шифровальщик позволяет пользователям откупиться, заразив двух знакомых15.54Понедельник, 12 декабря 2016
    Новый троян ЦРУ мешает работать пользователям PowerPoint, «потому что они этого заслуживают!»15.54Среда, 17 мая 2017
    Новый троян захватил миллионы Android-смартфонов14.34Среда, 04 февраля 2015
    Новый троян заставляет владельцев менять Android-устройства14.19Пятница, 06 ноября 2015

    Мы в соц. сетях