Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web spodziewa się wzrostu liczby trojanów bankowych atakujących użytkowników Androida

20 stycznia 2017

Nowoczesne trojany bankowe dla Androida są tworzone przez twórców wirusów i sprzedawane za poważne sumy jako produkty komercyjne oferowane na podziemnych platformach internetowych. Jednakże kod źródłowy jednej z tych złośliwych aplikacji został ostatnio upubliczniony na jednym z forów hakerskich, razem z instrukcjami dotyczącymi sposobów użycia tego “pakietu”. Analitycy bezpieczeństwa Doctor Web są przekonani, że może to doprowadzić do znaczącego wzrostu liczby ataków wywołanych przez trojany bankowe dla Androida.

Twórcy wirusa opublikowali kod źródłowy nowej złośliwej aplikacji raptem miesiąc temu, ale analitycy bezpieczeństwa Doctor Web już wykryli trojana bankowego dla Androida stworzonego z użyciem informacji opublikowanych przez cyberprzestępców. Ten trojan, nazwany Android.BankBot.149.origin, jest dystrybuowany pod płaszczykiem niegroźnych programów. Gdy użytkownik smartfona lub tabletu instaluje i uruchamia Android.BankBot.149.origin, trojan bankowy zachęca użytkownika do udzielenia mu uprawnień administracyjnych, aby w ten sposób utrudnić swoje usunięcie z systemu. Następnie ukrywa sam siebie przed użytkownikiem usuwając swój skrót z ekranu domowego.

screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb

Potem Android.BankBot.149.origin łączy się z serwerem kontrolno-zarządzającym (C&C) i oczekuje na instrukcje. Trojan potrafi wykonywać następujące działania:

  • Wysyłanie wiadomości SMS;
  • Przechwytywanie wiadomości SMS;
  • Żądanie uprawnień administracyjnych;
  • Wysyłanie żądań USSD;
  • Pozyskiwanie wszystkich numerów telefonicznych z listy kontaktów;
  • Wysyłanie wiadomości SMS zawierających tekst określony w komendzie na wszystkie numery z listy kontaktów;
  • Śledzenie położenia geograficznego urządzenia poprzez satelity GPS;
  • Żądanie dodatkowych uprawnień na urządzeniach używających najnowszych wersji Androida do wysyłania wiadomości SMS, wykonywania połączeń, oraz dostępu do listy kontaktów i odbiornika GPS;
  • Odbieranie pliku wykonywalnego zawierającego listę zaatakowanych aplikacji bankowych;
  • Wyświetlanie okienek phishingowych.

Tak jak wiele innych trojanów bankowych dla Androida, Android.BankBot.149.origin wykrada poufne informacje użytkownika śledząc uruchamianie aplikacji do bankowości online i oprogramowania do obsługi systemów płatności. Próbka przebadana przez analityków bezpieczeństwa Doctor Web kontroluje ponad trzydzieści takich programów. Gdy Android.BankBot.149.origin wykryje uruchomienie dowolnej z wymienionych aplikacji, ładuje powiązany z nią formularz phishingowy w celu uzyskania informacji o loginie i haśle dostępu do konta bankowego użytkownika i wyświetla go na wierzchu atakowanej aplikacji.

screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb
screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb

Trojan wykrada nie tylko poświadczenia logowania do bankowości mobilnej, ale również informacje na temat karty bankowej należącej do posiadacza zaatakowanego urządzenia. W tym celu Android.BankBot.149.origin śledzi uruchamianie takich popularnych aplikacji jak Facebook, Viber, Youtube, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter i Sklep Play i wyświetla phishingowe okienka dialogowe przypominające te, które są używane do dokonywania zakupów w Google Play.

screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb

Gdy nadejdzie wiadomość SMS, trojan wyłącza wszystkie dźwięki i wibracje, wysyła zawartość wiadomości do cyberprzestępców i próbuje usunąć oryginalne wiadomości z listy przychodzących SMS ów. W rezultacie użytkownik może przeoczyć nie tylko powiadomienia od banku mówiące o nieplanowanych transakcjach, ale również i inne wiadomości przychodzące.

Android.BankBot.149.origin ładuje wszystkie wykradzione dane na serwer C&C i staje się dostępny w panelu administracyjnym. Pozwala to cyberprzestępcom nie tylko na pozyskiwanie informacji leżących w kręgu ich zainteresowań, ale i na kontrolowanie złośliwej aplikacji.

screen Android.BankBot.149.origin #drweb

Ogólnie mówiąc, możliwości tego trojana są całkiem typowe jak dla reprezentanta nowoczesnych trojanów bankowych dla Androida. Jednakże, jako że cyberprzestępcy stworzyli go na podstawie publicznie dostępnych informacji, to możemy przypuszczać, że w najbliższym czasie pojawi się wiele trojanów podobnych do opisywanego wirusa. Dr.Web dla Androida z powodzeniem wykrywa Android.BankBot.149.origin, tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Już teraz zabezpiecz swoje urządzenie z Androidem razem z Dr.Web

Kup online Kup poprzez Google Play Za darmo

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A