Android-троянец крадет деньги и конфиденциальные данные пользователей
Главная » Новости

Android-троянец крадет деньги и конфиденциальные данные пользователей

Александр Панасенко 26 Ноября 2014 - 15:03
...

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы, сообщает news.drweb.ru.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют следующие мобильные приложения:

  • Google Play;
  • Google Play Music;
  • Gmail;
  • WhatsApp;
  • Viber;
  • Instagram;
  • Skype;
  • «ВКонтакте»;
  • «Одноклассники»;
  • Facebook;
  • Twitter.

В конечном итоге вся введенная жертвой информация передается троянцем на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

  • начать или остановить перехват входящих и исходящих СМС;
  • выполнить USSD-запрос;
  • внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
  • очистить список блокируемых номеров;
  • передать на сервер информацию об установленных на устройстве приложениях;
  • выполнить отправку СМС-сообщения;
  • передать на сервер идентификатор вредоносной программы;
  • отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать СМС-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность троянца вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

BI.ZONE EDR получил сертификат ФСТЭК России и готов к работе в ГИС и КИИ
Екатерина Быстрова 13 Января 2026 - 16:26
BI.ZONE EDR Соответствие законодательству РФ КорпорацииГосударство Защита конечных точек сетиСистемы обнаружения целевых атак на конечных точках сети (EDR)Соответствие требованиям регуляторов BI.ZONE
BI.ZONE EDR получил сертификат ФСТЭК России и готов к работе в ГИС и КИИ

Система BI.ZONE EDR официально получила сертификат ФСТЭК России. Это означает, что продукт теперь можно использовать в российских информационных системах, где требуется обязательная сертификация средств защиты информации — в том числе в госсекторе и на критически важных объектах.

Сертификат подтверждает, что BI.ZONE EDR соответствует требованиям 4-го уровня доверия и относится к средствам обнаружения вторжений уровня узла 4-го класса защиты.

На практике это открывает продукту дорогу в системы с защитой информации до 1-го класса защищённости — включая государственные информационные системы (ГИС), объекты критической информационной инфраструктуры (КИИ) и АСУ ТП. Кроме того, решение можно применять для защиты персональных данных.

BI.ZONE EDR предназначен для раннего выявления и расследования сложных целевых атак. Но на практике его возможности выходят далеко за рамки классического EDR.

По данным BI.ZONE TDR, в рамках которого используется BI.ZONE EDR, 2 из 3 корпоративных компьютеров содержат как минимум одну небезопасную настройку. При этом 20% хостов имеют некорректные конфигурации уровня high — то есть такие, которые позволяют злоумышленнику провести компрометацию буквально за один шаг.

На сегодняшний день у BI.ZONE EDR уже более 900 тысяч инсталляций, что делает его одним из самых распространённых EDR-решений на российском рынке.

Отдельный плюс — полноценная работа BI.ZONE EDR на Linux. Это позволяет использовать решение в инфраструктурах, которые уже перешли на отечественные дистрибутивы. Продукт имеет сертификаты совместимости с Astra Linux, РЕД ОС 8 и ОС «Альт».

Кроме того, BI.ZONE EDR поддерживает работу в контейнерных средах, что делает его актуальным для современных микросервисных и облачных архитектур.

Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров отмечает, что получение сертификата — важный этап в развитии продукта:

«Получение сертификата ФСТЭК подтверждает, что BI.ZONE EDR соответствует самым строгим требованиям по защите информации и готов к использованию в государственных и критически важных системах. Это шаг, который подтверждает технологическую зрелость нашего продукта и позволяет заказчикам использовать его в самых требовательных средах. Мы создаем технологии, которые позволяют не просто реагировать на инциденты, а предотвращать их ещё до возникновения угрозы».

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
Роскомнадзор сообщил о том, что Roblox пошел на сотрудничество
Новость
Роскомнадзор сообщил о том, что Roblox пошел на сотрудничест...
АО ГЛОНАСС обнаружило уязвимости в электробусах и грузовиках
Новость
АО ГЛОНАСС обнаружило уязвимости в электробусах и грузовиках
В Security Vision 5 внедрили новые механизмы контроля доступа к API
Новость
В Security Vision 5 внедрили новые механизмы контроля доступ...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.