Спецпроекты

«Доктор Веб» обнаружил новые версии банковских троянов Android.BankBot

Безопасность Телеком B2B Пользователю

Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянов семейства Android.BankBot, атакующих клиентов банков множества стран. Некоторые модификации этих троянов, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ, сообщили CNews в «Доктор Веб».

Трояны семейства Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 г., когда МВД России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций, рассказали в компании. Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянов другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров.

Так, совсем недавно вирусные аналитики «Доктор Веб» обнаружили несколько подобных троянов, среди которых Android.BankBot.43 и Android.BankBot.45. Они распространяются под видом легального ПО, такого как игры, медиаплееры или обновления операционной системы, и благодаря применению злоумышленниками различных методов социальной инженерии опрометчиво устанавливаются на Android-смартфоны и планшеты самими же пользователями.

Запустившись в зараженной системе, трояны Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, которые дают им расширенные возможности, включая способность препятствовать их удалению. По информации «Доктор Веб», в процессе получения необходимых прав вредоносные программы используют весьма интересный механизм. В частности, они отображают поверх стандартного системного диалогового окна собственное сообщение, которое закрывает собой настоящее уведомление операционной системы и предлагает установить некие «дополнения». Соглашаясь с предложенным действием, пользователь на самом деле добавляет троянов в список администраторов мобильного устройства, так как при нажатии кнопки «Продолжить», происходит активация скрытой за мошенническим окном оригинальной функции ОС.

В то же время, при попытке удаления троянов Android.BankBot процедура исключения их из списка администраторов пресекается демонстрацией специального сообщения, в результате чего деинсталляция вредоносных приложений стандартными средствами системы становится невозможной.

После получения необходимых полномочий данные трояны устанавливают связь с управляющим сервером и ожидают поступления дальнейших указаний. В частности, они способны выполнить следующие действия по команде с сервера: позвонить на указанный в команде номер; использовать для связи с управляющим сервером полученный в команде веб-адрес; выполнить указанный в команде USSD-запрос; отправить на сервер все входящие и исходящие SMS-сообщения; выполнить сброс настроек устройства с удалением всех данных пользователя; отправить SMS-сообщение с заданными параметрами; отправить на сервер подробную информацию о зараженном устройстве; осуществить поиск файла в соответствии с полученным в команде именем; использовать заданный телефонный номер для получения дублирующих команд.

Поскольку большинство управляющих команд дублируется злоумышленниками через SMS-канал, вредоносные приложения способны выполнять многие из своих функций даже при отсутствии интернет-соединения и связи с управляющим центром, что увеличивает их вредоносный потенциал, подчеркнули в компании.

Основное предназначение троянов семейства Android.BankBot — кража конфиденциальных банковских сведений пользователей и хищение их денежных средств. Для этого вредоносные приложения атакуют установленные на мобильных устройствах пользователей программы типа «Банк-Клиент» ряда кредитных организаций, а также программу «Play Маркет» (Play Store). В частности, после запуска потенциальной жертвой целевых банковских программ-клиентов трояны подделывают внешний вид данных приложений, отображая на экране фальшивую форму ввода аутентификационных данных. Если же пользователь запускает приложение «Play Маркет», они имитируют стандартную форму добавления к учетной записи пользователя реквизитов его банковской карты. При этом вредоносные приложения фактически заставляют своих жертв ввести необходимые данные, поскольку демонстрируемое диалоговое окно невозможно закрыть, и работа с каталогом Google Play блокируется. Полученные таким обманным способом конфиденциальные сведения в дальнейшем передаются на управляющий сервер, после чего киберпреступники беспрепятственно могут совершать хищение денег со счетов пользователей, так как все поступающие от системы безопасности банков SMS-сообщения с кодами подтверждения перехватываются вредоносными приложениями.

Однако это — не единственная опасность, исходящая от троянов семейства Android.BankBot. Так, многие из них способны нарушать работу ряда популярных антивирусных приложений в момент, когда те выполняют попытку удаления банкеров с зараженных мобильных устройств, указали в «Доктор Веб». Компания выпустила специальное обновление для своих антивирусных продуктов для ОС Android, в котором был реализован механизм противодействия подобным атакам, поэтому современные банковские трояны Android.BankBot более не представляют серьезной опасности для пользователей решений «Доктор Веб».

Для владельцев Android-смартфонов и планшетов с установленными антивирусными продуктами Dr.Web обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти в каталог Google Play, выбрать в списке приложений соответствующую версию инсталлированного «Антивируса Dr.Web для Android» и нажать на кнопку «Обновить». Для обновления через сайт «Доктор Веб» необходимо скачать новый дистрибутив программы.



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Тема месяца

Обзор: ИКТ в госсекторе

Рейтинги CNews

• Топ-100 ИКТ-тендеров для федеральных ведомств • Крупнейшие поставщики • ИКТ-бюджеты регионов