1. Даний троянець Android.BankBot.149.origin може виконувати наступні дії:
2. Вірус Android.BankBot.149.origin перевіряє наявність на мобільному гаджеті багатьох банківських додатків,...
3. Троянець Android.BankBot.149.origin перевіряє наявність на пристрої наступних програм:

Вірус на андройд

Вірусописьменники опублікували у вільному доступі вихідний код нового шкідливого програми лише один місяць назад, однак фахівці компанії «Доктор Веб» вже виявили Android-Банкера, створеного на основі наданої кіберзлочинцями інформації. Цей троянець, який отримав ім'я Android.BankBot.149.origin і поширюється під виглядом нешкідливих програм. Після того як користувач смартфона або планшета встановить і запустет дану програму, вона запитує доступ до функцій адміністратора мобільного пристрою, це щоб ускладнити користувачеві гаджета своє видалення. Потім він маскується від користувача, прибираючи свій значок на головному екрані.

Далі android bankbot підключається до керуючого сервера кіберзлочинця і очікує від нього команд.

Даний троянець Android.BankBot.149.origin може виконувати наступні дії:

• відправляти і перехоплювати СМС-повідомлення
• запитувати у пристрої права адміністратора
• виконувати USSD-запити
• отримувати з телефонної книги список всіх наявних номерів контактів
• розсилати СМС з отриманим в команді текстом по всіх номерах з телефонної книги
• відстежувати місце розташування пристрою через супутники GPS
• запитувати на пристроях з сучасними версіями ОС Android додатковий дозвіл на відправку СМС-повідомлень, виконання дзвінків
• отримувати конфігураційний файл зі списком атакованих банківських додатків
• показувати фішингові вікна

Як і багато сучасних Android-Банкер, Android.BankBot.149.origin краде у користувачів конфіденційну інформацію, відстежуючи запуск додатків «банк-клієнт» і ПО для роботи з платіжними системами. Досліджений зразок вірусними аналітиками «Доктор Веб» контролює запуск понад тридцять таких програм. Як тільки програма троянець виявляє, що одна з програм зі списку розпочала роботу, він завантажує з керуючого сервера відповідну фішингову форму введення логіна і пароля для доступу до облікового запису банку або платіжної системи та показує її поверх атакується додатки. В результаті користувач не підозрює, що він ввидіт свої дані не в офіційному додатку, а в підставний формі завантаженої з сервера зловмисника і передає йому свої дані для підключення.

Фішингова форма Android.BankBot

Вірус Android.BankBot.149.origin перевіряє наявність на мобільному гаджеті багатьох банківських додатків, а також програмному забезпеченні для роботи з грошовими переказами і платіжними системами:

• Сбербанк Онлайн - ru.sberbankmobile
• Сбербанк Бізнес Онлайн - ru.sberbank_sbbol
• Альфа-Банк (Alfa-Bank) - ru.alfabank.mobile.android
• Альфа-Бізнес - ru.alfabank.oavdo.amc
• Visa QIWI Гаманець - ru.mw
• Мобільний банк R-Connect - ru.raiffeisennews
• Тінькофф - com.idamob.tinkoff.android
• PayPal - com.paypal.android.p2pmobile
• WebMoney Keeper - com.webmoney.my
• Росбанк Онлайн - ru.rosbank.android
• ВТБ24-Онлайн - ru.vtb24.mobilebanking.android
• МТС Банк - ru.simpls.mbrd.ui
• Яндекс.Деньги: платежі онлайн - ru.yandex.money
• Ощадбанк ОнЛ @ йн ПАТ СБЕРБАНК - ua.com.cs.ifobs.mobile.android.sbrf
• Приват24 - ua.privatbank.ap24
• Моб. банк Русский Стандарт - ru.simpls.brs2.mobbank
• UBANK - фінансовий супермаркет - com.ubanksu
• Idea Bank - com.alseda.ideabank
• IKO - pl.pkobp.iko
• Банк СМС - Bank SMS - com.bank.sms
• OTP Smart - ua.com.cs.ifobs.mobile.android.otp
• VTB Online (Ukraine) - ua.vtb.client.android
• Ощад 24/7 - ua.oschadbank.online
• Platinum Bank - com.trinetix.platinum
• UniCredit Mobile - hr.asseco.android.jimba.mUCI.ua
• Райффайзен Онлайн - ua.pentegy.avalbank.production
• Укргазбанк - com.ukrgazbank.UGBCardM
• StarMobile - com.coformatique.starmobile.android
• Chase Mobile - com.chase.sig.android
• Bank of America Mobile Banking - com.infonow.bofa
• Wells Fargo Mobile - com.wf.wellsfargomobile
• TD International - com.wsod.android.tddii
• TD Spread Trading - com.directinvest.trader
• Akbank Direkt - com.akbank.android.apps.akbank_direkt
• Yapı Kredi Mobil Bankacılık - com.ykb.android
• ÇEKSOR - com.softtech.iscek
• JSC İŞBANK - com.yurtdisi.iscep
• İşCep - com.pozitron.iscep
• İşTablet - com.softtech.isbankasi

Троянець крім крадіжки логінів та паролів намагається викрасти дані про банківську карту власника зараженого мобільного пристрою. Для цього програма відстежує запуск популярних додатків, таких як Facebook, Viber, Youtube, imo, Instagram, Twitter і деяких інших, а потім показує поверх них фішингових вікно (схоже на оригінальне) налаштувань платіжного сервісу каталогу Google Play.

Список програм відслідковуються Android.BankBot.149.origin

• WhatsApp - com.whatsapp
• Play Маркет - com.android.vending
• Messenger - com.facebook.orca
• Facebook - com.facebook.katana
• WeChat - com.tencent.mm
• Youtube - com.google.android.youtube
• Uber - com.ubercab
• Viber - com.viber.voip
• Snapchat - com.snapchat.android
• Instagram - com.instagram.android
• imo - com.imo.android.imoim
• Twitter - com.twitter.android

Після запуску одного зі списку цих додатків троянець android bankbot показує поверх нього підроблене вікно налаштувань платіжного сервісу Google Play.

При надходженні СМС вірус троянець відключає всі звукові і вібросигнали, відправляє вміст повідомлень зловмисникам і намагається видалити перехоплені СМС зі списку входять. В результаті користувач може не тільки не отримати повідомлення від кредитних організацій з інформацією про незаплановані операціях з грошима, але і не побачить інші повідомлення, які приходять на його номер.

Всі вкрадені Android.BankBot.149.origin дані завантажуються на керуючий сервер і доступні в панелі адміністрування. З її допомогою кіберзлочинці не тільки отримують цікаву для них інформацію, а й керують шкідливим додатком.

Вкрадені Android.BankBot.149.origin дані завантажені на керуючий сервер

Також Android.BankBot.149.origin передає на сервер відомості про встановлені у користувача деяких популярних антивірусних програмах і сервісних утиліти, які можуть перешкодити його роботі на пристрої.

Троянець Android.BankBot.149.origin перевіряє наявність на пристрої наступних програм:

• Anti-virus Dr.Web Light - com.drweb
• CM Security AppLock AntiVirus - com.cleanmaster.security
• Kaspersky Antivirus & Security - com.kms.free
• ESET Mobile Security & Antivirus - com.eset.ems
• Avast Mobile Security & Antivirus - com.avast.android.mobilesecurity
• Clean Master (Boost & Antivirus) - com.cleanmaster.mguard
• 360 Security - Antivirus - com.qihoo.security
• AVG AntiVirus FREE for Android - com.antivirus
• Antivirus Free - Virus Cleaner - com.zrgiu.antivirus
• Super Cleaner - Antivirus - com.apps.go.clean.boost.master
• AndroHelm AntiVirus Android 2017 - com.androhelm.antivirus.free
• TrustGo Antivirus & Mobile Security - com.trustgo.mobile.security
• Sophos Free Antivirus and Security - com.sophos.smse

У загальному і цілому можливості цього троянця Android.BankBot.149.origin є цілком стандартними для сучасних Android-Банкер. Але оскільки кіберзлочинці створили його з використанням доступною будь-якому бажаючому інформації викладеної у відкритому доступі, можна з великою часткою ймовірності очікувати появи безлічі нових аналогічних програм троянців. Як прибрати вірус троян з телефону андроїд, а так-же віруси вражають вихідний код і не потрапити під загрозу крадіжки даних, необхідно використовувати антивірусні програми, одна з таких це Anti-virus Dr.Web Light. також він допоможе прибрати вірус з телефону андроїд

джерело: доктор Веб

Коментувати статті на нашому сайті можливо тільки протягом 365 днів з дня публікації.