Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Dystrybutorzy zostali aresztowani, ale ataki trojanów bankowych nadal trwają

6 maja 2015

Z końcem kwietnia 2015 analitycy bezpieczeństwa Doctor Web wykryli nowe wersje trojanów należących do rodziny Android.BankBot, przeprowadzających ataki na klientów banków zlokalizowanych w wielu krajach. Niektóre modyfikacje tych trojanów, znane pod nazwą Svpeng potrafią wykradać pieniądze z kont bankowych właścicieli urządzeń z Androidem i przerywać pracę wielu programów antywirusowych.

Specjaliści zajmujący się antywirusami są zaznajomieni z trojanami Android.BankBot już od kilku lat. Mimo to, stały się one szerzej znane na początku marca 2015, kiedy Ministerstwo Spraw Wewnętrznych Federacji Rosyjskiej wydało oświadczenie dotyczące aresztowania cyberprzestępców wykorzystujących modyfikacje tych złośliwych programów do przeprowadzenia ataków na klientów banków należących do wielu rosyjskich i międzynarodowych organizacji finansowych. Mimo, iż cyberprzestępcy zostali aresztowani, dystrybucja trojanów Android.BankBot jest kontynuowana przez innych twórców wirusów, tworzących nowe wersje tych aplikacji.

Ostatnio analitycy Doctor Web wykryli kilka takich trojanów, włączając Android.BankBot.43 i Android.BankBot.45. Są one dystrybuowane pod ukryciem legalnego oprogramowania (np. gier, odtwarzaczy audio-wideo i pakietów aktualizacyjnych systemu operacyjnego) i są często instalowane na urządzeniach z Androidem przez samych użytkowników, ze względu na to, że cyberprzestępcy używają metod inżynierii społecznej.

Gdy tylko te złośliwe programy uruchomią się na zainfekowanym urządzeniu, próbują uzyskać uprawnienia administracyjne, które pozwalają trojanowi na swobodną aktywność i uniemożliwiają użytkownikowi usunięcie go z urządzenia. Aby uzyskać uprawnienia administratora, trojany wykorzystują następującą metodę. W szczególności, u góry standardowego powiadomienia systemowego wyświetlają wiadomość zachęcającą użytkownika do zainstalowania kilku "dodatków". Jeśli użytkownik zgodzi się na nie, trojan otrzymuje uprawnienia administracyjne, gdy z chwilą kliknięcia "Kontynuuj" użytkownik aktywuje oryginalną funkcję systemu operacyjnego, ukrytą za oknem złośliwego programu.

screen screen

Jeśli użytkownik spróbuje usunąć trojany Android.BankBot z urządzenia, wyświetli się specjalne okienko z wiadomością i odinstalowywanie zostanie przerwane. Z tego powodu te złośliwe aplikacje nie mogą być usunięte z użyciem standardowych narzędzi systemowych.

screen

Gdy tylko trojany otrzymają uprawnienia, to zestawiają połączenie z serwerem kontrolno-zarządzającym i czekają na dalsze instrukcje. Potrafią wykonać następujące komendy:

  • zadzwonić na numer podany w poleceniu
  • użyć adresów www podanych w komendzie do zestawienia połączenia z serwerem C&C
  • wykonać żądanie USSD określone w komendzie
  • przekazywać na serwer wszystkie przychodzące i wychodzące wiadomości SMS
  • zresetować ustawienia urządzenia do domyślnych, usuwając wszystkie dane użytkownika
  • wysłać wiadomość SMS z określonymi parametrami
  • wysłać na serwer szczegółową informację o zainfekowanym urządzeniu
  • uruchomić wyszukiwanie pliku określonego w komendzie
  • użyć określonego numeru telefonu do otrzymania duplikatów komend

Ponieważ główne komendy są duplikowane przez cyberprzestępców poprzez kanał SMS, złośliwe aplikacje mogą wykonywać wiele działań nawet w przypadku braku połączenia z Internetem lub serwerem. Czyni to te złośliwe programy wyjątkowo niebezpiecznymi.

Trojany należące do rodziny Android.BankBot są zaprojektowane nie tylko do wykradania poufnych informacji bankowych użytkowników, ale również do kradzieży ich pieniędzy. Aby móc tego dokonać, trojany atakują aplikacje do bankowości online zainstalowane na urządzeniach lub aplikację Play Store. Od momentu gdy użytkownik uruchomi aplikacje bankowości online, trojany imitują interfejs tych aplikacji wyświetlając fałszywy formularz autentykacyjny. Jeśli użytkownik uruchomi Play Store, złośliwe programy imitują standardowy formularz używany przez użytkowników do dodawania do ich kont szczegółów karty kredytowej. Właściwie to trojany wymuszają na swoich ofiarach wprowadzenie wszystkich niezbędnych danych, ponieważ bez tego kroku niemożliwe jest zamknięcie wyświetlonego okna dialogowego i kontynuowanie pracy z Google Play. Gdy tylko ujawnione, poufne informacje zostaną przesłane na serwer C&C, cyberprzestępcy mogą wykradać pieniądze z kont bankowych, ponieważ wszystkie wiadomości SMS wysyłane przez systemy bezpieczeństwa banku są przechwytywane przez malware.

screen screen
screen screen

Trojany Android.BankBot mogą również wykonywać inne złośliwe działania. Przykładowo, wiele z nich potrafi kolidować z próbami usunięcia Trojanów Bankowych z zainfekowanych urządzeń przez różne znane aplikacje antywirusowe. Doctor Web wydał specjalną aktualizację antywirusów Dr.Web dla Androida zawierającą efektywny mechanizm odpierania takich ataków. Z tego względu trojany należące do rodziny Android.BankBot nie stanowią już zagrożenia dla użytkowników Dr.Web.

Aktualizacja ta zostanie zainstalowana automatycznie na urządzeniach z systemem Android z rozwiązaniami antywirusowymi Dr.Web. Jeśli automatyczne aktualizacje w urządzeniu są wyłączone, wejdź na Google Play i wybierz odpowiednią wersję zainstalowanego Antywirusa Dr.Web dla Androida. Kliknij "Aktualizuj". Możesz również pobrać plik nowej dystrybucji z oficjalnej strony Doctor Web.

Użytkownikom, którzy nie mają na swoich urządzeniach mobilnych antywirusa Dr.Web dla Android lub Dr.Web dla Android Light, rekomendujemy pobranie i zainstalowanie tych programów, aby mogli chronić się przed niechcianą aktywnością trojanów bankowych i innych złośliwych aplikacji.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A