Следующая новость
Предыдущая новость

Банковский троян для Android развлекает своих жертв игрой

19.11.2018 11:52
Банковский троян для Android развлекает своих жертв игрой

Аналитики компании «Доктор Веб» обнаружили в Google Play банковского трояна Android.Banker.2876, распространявшегося под видом официальных приложений нескольких европейских кредитных организаций (Bankia, Banco Bilbao Vizcaya Argentaria (BBVA) и Santander, французских Credit Agricole и Groupe Banque Populaire, а также немецкой Postbank). В общей сложности было найдено шесть модификаций угрозы и все они уже удалены из официального каталога приложений.

Вредонос действовал классическим для банковской малвари образом. После запуска пользователем он запрашивал доступ к управлению телефонными звонками и совершению вызовов, а также к отправке и получению SMS-сообщений. При этом на устройствах c ОС Android ниже версии 6.0 эти разрешения предоставляются автоматически во время установки. Примеры таких запросов показаны на изображениях ниже.

Банковский троян для Android развлекает своих жертв игрой
Банковский троян для Android развлекает своих жертв игрой

Затем банкер собирал и передавал в облачную базу данных Firebase конфиденциальную информацию:

  • текущее время;
  • IMEI-идентификатор;
  • MEID-идентификатор (идентификатор для CDMA-устройств);
  • deviceToken – токен Firebase для зараженного устройства;
  • код страны SIM-карты;
  • код оператора связи;
  • название оператора связи;
  • номер телефона;
  • IP-адрес;
  • MAC-адрес Wi-Fi-адаптера;
  • наименование модели, производителя и бренда устройства.

Если данные удалось успешно отправить в БД, троян информировал своих операторов о том, что был зарегистрирован новый пользователь (посредством сервиса Firebase Cloud Messaging). Для этого он передавал сообщение типа «New user» с текстом «New user added with device id <id устройства>», где id устройства – идентификатор зараженного смартфона или планшета.

Затем троян показывал пользователю окно с сообщением, в котором потенциальной жертве, якобы для продолжения работы с программой, предлагалось указать номер телефона. При этом каждая из модификаций банкера предназначена для конкретной аудитории. Например, если троян имитирует приложение испанского банка, то его интерфейс и демонстрируемый текст будут на испанском языке.

Введенный жертвой номер также передавался в облачную базу данных, а пользователь видел второе сообщение. В нем говорится о необходимости подождать подтверждения «регистрации». Здесь же отображается кнопка «Submit», при нажатии на которую совершенно неожиданно для жертвы вирусописателей запускается встроенная в приложение игра.

Банковский троян для Android развлекает своих жертв игрой
Банковский троян для Android развлекает своих жертв игрой

Если ранее малвари удалось загрузить в облако информацию о мобильном устройстве, она скрывает свой значок с главного экрана и в дальнейшем запускается в скрытом режиме автоматически при включении зараженного смартфона или планшета.

Троян перехватывал все входящие SMS-сообщения и сохранял их содержимое в локальную базу данных. Кроме того, текст сообщений загружался в базу Firebase и дублировался в SMS, отправляемых малварью на мобильный номер киберпреступников.

В результате злоумышленники были способны получать одноразовые пароли подтверждения банковских операций и другую конфиденциальную информацию, которая может быть использована для проведения фишинговых атак. Помимо этого, собираемые трояном номера телефонов могли помочь вирусописателям в организации различных мошеннических кампаний.

Источник

Последние новости