«Доктор Веб» обнаружил новые версии банковских троянов Android.BankBot

Безопасность Телеком B2B Пользователю
мобильная версия
, Текст: Татьяна Короткова

Специалисты компании «Доктор Веб» обнаружили новые версии Android-троянов семейства Android.BankBot, атакующих клиентов банков множества стран. Некоторые модификации этих троянов, известные также под именем Svpeng, опасны тем, что похищают деньги с банковских счетов пользователей мобильных Android-устройств и способны завершать работу целого ряда антивирусных программ, сообщили CNews в «Доктор Веб».

Трояны семейства Android.BankBot знакомы специалистам по информационной безопасности уже несколько лет. Однако широкую известность они получили лишь в начале апреля 2015 г., когда МВД России сообщило о задержании киберпреступников, использовавших несколько модификаций этих вредоносных приложений при реализации атак на клиентов ряда российских и иностранных кредитных организаций, рассказали в компании. Несмотря на то, что деятельность этих злоумышленников была пресечена, распространение данных троянов другими вирусописателями продолжилось, о чем свидетельствует появление очередных модификаций банкеров.

Так, совсем недавно вирусные аналитики «Доктор Веб» обнаружили несколько подобных троянов, среди которых Android.BankBot.43 и Android.BankBot.45. Они распространяются под видом легального ПО, такого как игры, медиаплееры или обновления операционной системы, и благодаря применению злоумышленниками различных методов социальной инженерии опрометчиво устанавливаются на Android-смартфоны и планшеты самими же пользователями.

Запустившись в зараженной системе, трояны Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, которые дают им расширенные возможности, включая способность препятствовать их удалению. По информации «Доктор Веб», в процессе получения необходимых прав вредоносные программы используют весьма интересный механизм. В частности, они отображают поверх стандартного системного диалогового окна собственное сообщение, которое закрывает собой настоящее уведомление операционной системы и предлагает установить некие «дополнения». Соглашаясь с предложенным действием, пользователь на самом деле добавляет троянов в список администраторов мобильного устройства, так как при нажатии кнопки «Продолжить», происходит активация скрытой за мошенническим окном оригинальной функции ОС.

В то же время, при попытке удаления троянов Android.BankBot процедура исключения их из списка администраторов пресекается демонстрацией специального сообщения, в результате чего деинсталляция вредоносных приложений стандартными средствами системы становится невозможной.

После получения необходимых полномочий данные трояны устанавливают связь с управляющим сервером и ожидают поступления дальнейших указаний. В частности, они способны выполнить следующие действия по команде с сервера: позвонить на указанный в команде номер; использовать для связи с управляющим сервером полученный в команде веб-адрес; выполнить указанный в команде USSD-запрос; отправить на сервер все входящие и исходящие SMS-сообщения; выполнить сброс настроек устройства с удалением всех данных пользователя; отправить SMS-сообщение с заданными параметрами; отправить на сервер подробную информацию о зараженном устройстве; осуществить поиск файла в соответствии с полученным в команде именем; использовать заданный телефонный номер для получения дублирующих команд.

Поскольку большинство управляющих команд дублируется злоумышленниками через SMS-канал, вредоносные приложения способны выполнять многие из своих функций даже при отсутствии интернет-соединения и связи с управляющим центром, что увеличивает их вредоносный потенциал, подчеркнули в компании.

Основное предназначение троянов семейства Android.BankBot — кража конфиденциальных банковских сведений пользователей и хищение их денежных средств. Для этого вредоносные приложения атакуют установленные на мобильных устройствах пользователей программы типа «Банк-Клиент» ряда кредитных организаций, а также программу «Play Маркет» (Play Store). В частности, после запуска потенциальной жертвой целевых банковских программ-клиентов трояны подделывают внешний вид данных приложений, отображая на экране фальшивую форму ввода аутентификационных данных. Если же пользователь запускает приложение «Play Маркет», они имитируют стандартную форму добавления к учетной записи пользователя реквизитов его банковской карты. При этом вредоносные приложения фактически заставляют своих жертв ввести необходимые данные, поскольку демонстрируемое диалоговое окно невозможно закрыть, и работа с каталогом Google Play блокируется. Полученные таким обманным способом конфиденциальные сведения в дальнейшем передаются на управляющий сервер, после чего киберпреступники беспрепятственно могут совершать хищение денег со счетов пользователей, так как все поступающие от системы безопасности банков SMS-сообщения с кодами подтверждения перехватываются вредоносными приложениями.

Однако это — не единственная опасность, исходящая от троянов семейства Android.BankBot. Так, многие из них способны нарушать работу ряда популярных антивирусных приложений в момент, когда те выполняют попытку удаления банкеров с зараженных мобильных устройств, указали в «Доктор Веб». Компания выпустила специальное обновление для своих антивирусных продуктов для ОС Android, в котором был реализован механизм противодействия подобным атакам, поэтому современные банковские трояны Android.BankBot более не представляют серьезной опасности для пользователей решений «Доктор Веб».

Для владельцев Android-смартфонов и планшетов с установленными антивирусными продуктами Dr.Web обновление пройдет автоматически. Если же автоматические обновления на устройстве отключены, необходимо зайти в каталог Google Play, выбрать в списке приложений соответствующую версию инсталлированного «Антивируса Dr.Web для Android» и нажать на кнопку «Обновить». Для обновления через сайт «Доктор Веб» необходимо скачать новый дистрибутив программы.