Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Niebezpieczny trojan bankowy zagraża użytkownikom Androida

10 czerwca 2015, Warszawa

Analitycy bezpieczeństwa Doctor Web wykryli nowego trojana zaprojektowanego do wykradania pieniędzy z kont bankowych osób korzystających z systemu Android. Cyberprzestępcy wbudowali ten złośliwy program, nazwany Android.BankBot.65.origin i rozpowszechniany pod pozorem oryginalnego oprogramowania, w oficjalną aplikację do bankowości online.

Analitycy bezpieczeństwa zaznajomili się z takim schematem dystrybucji już jakiś czas temu: cyberprzestępcy wstrzykiwali złośliwy kod w legalne aplikacje, rozsiewając je po wielu katalogach z oprogramowaniem i po zasobach plików współdzielonych. Ponieważ zarażona aplikacja wygląda i działa jak legalna, bardzo prawdopodobne jest, że potencjalne ofiary zainstalują ją na swoich urządzeniach mobilnych. Jednakże zamiast prawdziwego programu, użytkownicy dostają zmodyfikowaną wersję, zawierającą trojana zdolnego do wykonywania złośliwych działań na zainfekowanym urządzeniu.

Ostatnio analitycy bezpieczeństwa Doctor Web wykryli trojana bankowego Android.BankBot.65.origin wbudowanego w aplikację do bankowości online rosyjskiego banku Sberbank i dystrybuowanego z użyciem schematu opisanego powyżej. Dodając złośliwą funkcjonalność do programu, cyberprzestępcy zmodyfikowali go i osadzili nową wersję na jednej z popularnych stron przeznaczonych dla urządzeń mobilnych. Zarażona kopia aplikacji działa dokładnie tak samo jak jej oryginalna wersja, więc użytkownicy nie uważają pobranego programu za złośliwy, co zagraża bezpieczeństwu ich poufnych danych. Jak dotąd ponad 70 właścicieli urządzeń z Androidem pobrało już tę zmodyfikowaną aplikację.

screen

Gdy tylko zarażona wersja zostanie zainstalowana i uruchomiona, Android.BankBot.65.origin tworzy specjalny plik konfiguracyjny zawierający parametry operacyjne trojana. Używając tych ustawień, malware zestawia połączenie z serwerem kontrolno-zarządzającym i wysyła następujące informacje używając żądań typu POST:

  • IMEI
  • Nazwa operatora sieci mobilnej
  • Adres MAC karty Bluetooth
  • Dane o dostępności aplikacji QIWI Wallet
  • Wersja API urządzenia
  • Wersja trojana
  • Nazwa pakietu trojana
  • Aktualnie wykonywane polecenie

Jeśli Android.BankBot.65.origin odbierze ze zdalnego hosta komendę “hokkei”, wysyła na serwer zaszyfrowaną listę zawierającą kontakty użytkownika i aktualizuje plik konfiguracyjny na podstawie komendy od cyberprzestępców.

To malware jest dość podobne do innych trojanów bankowych. Przykładowo, jak inne trojany należące to tej rodziny, Android.BankBot.65.origin może wykonywać następujące działania: po komendzie z serwera potrafi przechwytywać przychodzące wiadomości SMS i wysyłać teksty na numery określone przez cyberprzestępców. Co więcej, Android.BankBot.65.origin może dodawać teksty do listy przychodzących wiadomości SMS. Używając tych metod, cyberprzestępcy potrafią wykradać pieniądze z kont bankowych użytkowników (wysyłając komendy SMS do przesłania pieniędzy z konta ofiary na konto cyberprzestępców, lub przechwytując wiadomości zawierające kody weryfikacyjne) i wdrażać inne nieuczciwe schematy działań. Na przykład, cyberprzestępcy potrafią umieścić specjalnie wygenerowaną wiadomość informującą użytkownika, że jego karta kredytowa została zablokowana z prośbą o kontakt telefoniczny z "bankiem" na podany numer, lub wiadomość z prośną o uzupełnienie konta telefonu komórkowego "krewnego, który wpadł w kłopoty", albo inną wiadomość tego typu.

Analitycy bezpieczeństwa Doctor Web usilnie rekomendują posiadaczom urządzeń z systemem Android pobieranie aplikacji do bankowości online tylko z pewnych źródeł (przykładowo - Google Play lub oficjalne strony organizacji finansowych) i używanie Dr.Web dla Android lub Dr.Web dla Android Light do ochrony swoich urządzeń. Sygnatura Android.BankBot.65.origin została dodana do bazy wirusów Dr.Web, z tego powodu ten złośliwy program nie stanowi zagrożenia dla użytkowników Dr.Web.

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses
Doctor Web has been developing anti-virus software since 1992
Dr.Web is trusted by users around the world in 200+ countries
The company has delivered an anti-virus as a service since 2007
24/7 tech support

Dr.Web © Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125124, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A