Новый банковский троян угрожает южнокорейским пользователям Android
Компания «Доктор Веб» обнаружила нового банковского трояна, атакующего южнокорейских пользователей Android. Данная вредоносная программа, внесенная в вирусную базу Dr.Web под именем Android.BankBot.35.origin, представляет весьма серьезную угрозу: она пытается заменить настоящие приложения типа «банк-клиент» их поддельными копиями и способна красть конфиденциальную информацию, сообщили CNews в «Доктор Веб».
Android.BankBot.35.origin распространяется злоумышленниками в составе другой вредоносной программы, внесенной в вирусную базу как Android.MulDrop.46.origin. Данный троян представляет собой дроппера и может быть загружен пользователями под видом различных приложений. В частности, известны случаи, когда Android.MulDrop.46.origin выдается киберпреступниками за популярный веб-браузер.
После того как дроппер установлен на Android-смартфон или планшет, он может быть инициализирован как самим владельцем мобильного устройства (при нажатии на созданный трояном ярлык), так и автоматически — при очередной разблокировке экрана или загрузке операционной системы. Если Android.MulDrop.46.origin был запущен пользователем, вредоносная программа запрашивает у него доступ к функциям администратора мобильного устройства, после чего удаляет свой ярлык. В дальнейшем троян функционирует в качестве системного сервиса и становится «невидимым» для владельца мобильного устройства.
Вслед за успешной инициализацией дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл трояна Android.BankBot.35.origin, который затем загружается в оперативную память при помощи класса DexClassLoader, позволяющего Android-приложениям (в данном случае — дропперу Android.MulDrop.46.origin) без участия пользователя и предварительной установки запускать дополнительные программные модули. Получив управление, Android.BankBot.35.origin переходит в ждущий режим и периодически проверяет наличие на инфицированном устройстве ряда приложений типа «банк-клиент», принадлежащих нескольким южнокорейским кредитным организациям. Если одна из этих программ обнаруживается, троян загружает с удаленного узла соответствующее ей приложение-имитацию, после чего пытается установить его вместо оригинала. Для этого Android.BankBot.35.origin демонстрирует на экране зараженного устройства сообщение с призывом выполнить инсталляцию якобы новой версии банковского клиента. Если пользователь согласится на установку этого «обновления», троян инициализирует стандартный системный процесс удаления настоящего приложения, после чего приступит к инсталляции подделки, рассказали в «Доктор Веб».
Каждое из загружаемых Android.BankBot.35.origin поддельных банковских приложений представляет собой не что иное, как модификацию трояна Android.Banker.46.origin. Эта вредоносная программа позволяет киберпреступникам получить доступ к управлению банковскими счетами южнокорейских пользователей, что может привести к незапланированным финансовым операциям и даже потере всех их денежных средств. Чтобы похитить всю необходимую конфиденциальную информацию, Android.Banker.46.origin имитирует интерфейс настоящих приложений типа «банк-клиент» и запрашивает у своих жертв ввод таких данных, как логин и пароль от учетной записи онлайн-банкинга, номер счета и банковской карты, сведения об используемом цифровом сертификате, обеспечивающем безопасные транзакции, а также другие секретные сведения.
Наряду с заменой настоящих приложений системы «банк-клиент» их троянскими копиями, Android.BankBot.35.origin способен также совершать и другие нежелательные для пользователей действия. В частности, по команде с управляющего сервера вредоносная программа может: отправить SMS-сообщение с заданным текстом на указанный номер; включить или выключить передатчик Wi-Fi; загрузить на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера); загрузить с удаленного узла и запустить заданный злоумышленниками dex-файл.
Для запуска загруженного dex-файла троян задействует соответствующий функционал дроппера Android.MulDrop.46.origin, используемый для инициализации самого Android.BankBot.35.origin. Таким образом, эта вредоносная программа реализует модульную архитектуру и, в зависимости от потребностей создавших ее вирусописателей, способна значительно расширить свои возможности, указали в «Доктор Веб».
Помимо кражи сведений о контактах пользователя, в процессе своей работы троян также может передать на управляющий сервер и другую конфиденциальную информацию, например, номер телефона жертвы, название модели инфицированного мобильного устройства, сведения о версии операционной системы, типе используемой мобильной и Wi-Fi-сети и некоторые другие данные. Кроме того, Android.BankBot.35.origin способен перехватывать и удалять SMS-сообщения, поступающие с определенных номеров, информация о которых хранится в черном списке трояна.
По словам экспертов компании, вредоносная программа обладает интересным механизмом самозащиты. Так, если троян фиксирует на зараженном смартфоне или планшете запуск популярного южнокорейского антивируса, Android.BankBot.35.origin блокирует его инициализацию и возвращает пользователя к главному экрану операционной системы. Аналогичная блокировка распространяется и на стандартный системный менеджер приложений, а также функцию управления администраторами устройства. Поэтому, если защита трояна активирована, пользователи зараженных смартфонов и планшетов фактически лишаются возможности управлять всеми установленными программами. Вместе с тем, подобный защитный механизм не срабатывает, если в системе все еще присутствует хотя бы один из оригинальных банковских клиентов, которые вредоносная программа не успела заменить, либо если троян не получил доступ к функциям администратора мобильного устройства.
Чтобы не стать жертвой вредоносных программ, владельцы мобильных Android-устройств должны избегать установки приложений, полученных не из каталога Google Play. Кроме того, им рекомендуется установить защитное ПО. По информации «Доктор Веб», «Антивирус Dr.Web для Android» и «Антивирус Dr.Web для Android Light» обнаруживают и нейтрализуют описанных троянов, поэтому для пользователей данных продуктов они не представляют опасности.
© CNews
