Эксперты проанализировали новые версии Android-трояна BankBot

Олег Иванов 20 Сентября 2017 - 16:16

...

Эксперты проанализировали новые версии Android-трояна BankBot

Исследователи лаборатории FortiGuard Labs решили проанализировать печально известного Android-трояна BankBot и отразить процесс его эволюции за последние 10 месяцев. В большинстве случаев приложение маскируется под Flash Player или какой-либо инструмент системы Android. При установке требуется большое количество разрешений, это выглядят очень подозрительно. Более того, после запуска трояну нужно еще больше разрешений.

На рисунке ниже можно ознакомиться с полным списком запрашиваемых BankBot’ом разрешений:

Анализируемая экспертами версия BankBot имеет относительно низкий процент обнаружения – всего 15-20 детектов на VirusTotal. Это несмотря на то, что он не использует обфускацию, чтобы скрыть строки или функциональные возможности.

После установки приложение требует привилегий администратора. В большинстве случаев этот запрос сопровождается объяснением на турецком языке, что наталкивает на мысль о том, что именно Турция является атакуемой этим трояном страной.

После получения прав администратора, вредоносное приложение скрывается, удаляя свой значок. Затем он отправляет информацию об устройстве на командный сервер, среди нее IMEI, контакты и SMS-сообщения (отправленные и полученные).

После этого троян проверяет, установлены ли на устройстве какие-либо приложения турецких финансовых учреждений. Если таковые обнаруживаются, то вредонос загружает фишинговую страницу, похожую на легитимный аналог финансового учреждения.

Фактически, код этого образца очень похож на код, обанруженный в декабре 2016 года, с небольшим количеством изменений. Двумя самыми большими и очевидными отличиями являются: во-первых, метод инъекций, во-вторых, проверка всех исходящих вызовов, в ходе которой идет сравнение с жестко запрограммированным в коде списком номеров.

После поиска этих номеров в интернете, экспертам удалось выяснить, что они принадлежат технической поддержке турецких финансовых учреждений. Другими словами, если пользователь попытается позвонить на один из этих номеров, BankBot сразу прервет вызов.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Апреля 2026 - 13:41

Linux Windows macOS Уязвимости программ Домашние пользователи Корпорации Microsoft

Microsoft срочно выпустила патч для .NET 10 из-за критической уязвимости

Microsoft выпустила внеплановое обновление для .NET 10. После апрельского набора патчей часть пользователей начала жаловаться на сбои с расшифровкой данных в приложениях на .NET 10.0.6. В ходе разбора проблемы компания обнаружила ещё и уязвимость CVE-2026-40372 с 9,1 балла из 10 по CVSS.

Microsoft уже выпустила заплатку в версии .NET 10.0.7. Проблема затрагивает пакет Microsoft.AspNetCore.DataProtection.

Согласно описанию Microsoft, ошибка в механизме аутентифицированного шифрования могла привести к повышению привилегий: атакующий получал возможность подделывать аутентификационные cookies и расшифровывать часть защищённой нагрузки.

В худшем сценарии это открывает путь к получению прав SYSTEM, чтению файлов и изменению данных.

Особенно неприятный момент в том, что под удар в первую очередь попали не Windows. Microsoft указывает, что уязвимость касается всех ОС с .NET 10.0.6, а также некоторых конфигураций, где приложение использует версии пакета Microsoft.AspNetCore.DataProtection от 10.0.0 до 10.0.6 через NuGet и работает, например, на Linux или macOS.

Чтобы закрыть дыру и одновременно исправить проблемы с расшифровкой, Microsoft выпустила .NET 10.0.7 как внеочередной патч. По данным Microsoft Update Catalog, обновление вышло 21 апреля 2026 года под KB5091596. После установки компания рекомендует проверить версию через dotnet --info, а затем пересобрать и заново развернуть зависимые приложения.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!