Android-троянец крадет деньги и конфиденциальные данные пользователей

Android-троянец крадет деньги и конфиденциальные данные пользователей

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы, сообщает news.drweb.ru.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют следующие мобильные приложения:

  • Google Play;
  • Google Play Music;
  • Gmail;
  • WhatsApp;
  • Viber;
  • Instagram;
  • Skype;
  • «ВКонтакте»;
  • «Одноклассники»;
  • Facebook;
  • Twitter.

В конечном итоге вся введенная жертвой информация передается троянцем на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

  • начать или остановить перехват входящих и исходящих СМС;
  • выполнить USSD-запрос;
  • внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
  • очистить список блокируемых номеров;
  • передать на сервер информацию об установленных на устройстве приложениях;
  • выполнить отправку СМС-сообщения;
  • передать на сервер идентификатор вредоносной программы;
  • отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать СМС-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность троянца вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

ChatGPT начал возвращаться в WhatsApp после давления Евросоюза

ChatGPT снова заработал в WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) у части пользователей. Похоже, европейским регуляторам всё-таки удалось слегка отодвинуть Meta от двери, которую компания раньше захлопнула перед чужими ИИ-ботами.

OpenAI впервые запустила ChatGPT в WhatsApp ещё в 2024 году. Пользователи могли переписываться с нейросетью как с обычным контактом — без отдельного приложения и лишних настроек.

Но затем Meta активно раскатала собственного ассистента по WhatsApp, Facebook и Instagram (принадлежат корпорации Meta, признанной экстремисткой и запрещённой в России), а в 2025 году изменила правила Business API. Новые условия фактически запретили сторонним компаниям распространять через платформу универсальные чат-боты. ChatGPT и другие конкуренты быстро оказались за бортом.

Евросоюзу такая зачистка не понравилась. Еврокомиссия начала антимонопольное расследование, заподозрив Meta в том, что она использует доминирующее положение WhatsApp для расчистки рынка под собственного ИИ. В итоге компанию обязали снова допустить конкурирующих чат-ботов к Business API.

Теперь, по данным Tweakers, ChatGPT вновь отвечает внутри WhatsApp. Правда, пока не у всех: одни пользователи могут добавить бота и нормально с ним общаться, у других контакт появляется, но упорно молчит.

Платная подписка ChatGPT для доступа не требуется. Неравномерный запуск может означать, что OpenAI возвращает интеграцию постепенно и пока тестирует её в отдельных регионах.

Meta и OpenAI официально связь возвращения ChatGPT с решением Евросоюза не подтвердили.

RSS: Новости на портале Anti-Malware.ru