Новый троянец для Android способен красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.
Об этом сообщают аналитики компании «Доктор Веб». Android.BankBot.34.origin распространяется под видом системного обновления и скрывается под ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым.
После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы.
Тогда поверх интерфейса программы отображается фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют популярные мобильные приложения, такие как Google Play, WhatsApp, Viber, Instagram, зарубежные и российские соцсети и др.
Второй сценарий атаки происходит по команде с управляющего сервера Android.BankBot.34.origin. Троян может исполнить следующие операции:
• начать или остановить перехват входящих и исходящих СМС;
• внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
• передать на сервер информацию об установленных на устройстве приложениях;
• выполнить отправку СМС-сообщения;
• отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.) и др.
Примечательно, что адрес основного управляющего сервера трояна расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.
Киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер.
