Следующая новость
Предыдущая новость

Приложения воровали деньги и использовали сенсоры движения, чтобы избежать обнаружения

18.01.2019 23:32
Приложения воровали деньги и использовали сенсоры движения, чтобы избежать обнаружения

Рекомендуем почитать:

Xakep #237. Даркнет 2018

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты Trend Micro нашли в Google Play два вредоносных приложения, воровавших средства пользователей: Currency Converter и BatterySaverMobi. Специалисты связывают пейлоад малвари с банковским трояном Anubis, в силу сходства исходных кодов и использования тех же управляющих серверов, что уже попадали в поле зрения экспертов ранее.

Оба приложения имели хороший рейтинг (4,5 звезд) и немало положительных отзывов, часть из которых, очевидно, были фальшивыми. При этом вредоносные приложения были загружены более 5000 раз.

Приложения воровали деньги и использовали сенсоры движения, чтобы избежать обнаружения
Приложения воровали деньги и использовали сенсоры движения, чтобы избежать обнаружения

Однако отличительной чертой данной кампании являлось то, как операторы малвари решили скрывать своего вредоноса от обнаружения. Чтобы убедиться, что они работают не в песочнице и имеют дело не эмулятором, приложения обращались к сенсорам движения устройства. Если устройство действительно двигалось в пространстве, малварь убеждалась, что оно настоящее и можно продолжать работу. В противном случае банкер прекращал всякую активность.

Как и многие другие банковские вредоносы, Anubis пытается получить права администратора на устройстве обманом. Для этого приложения демонстрировали жертвам фальшивое сообщение о необходимости обновления ПО.

Приложения воровали деньги и использовали сенсоры движения, чтобы избежать обнаружения

Затем малварь связывалась с управляющим сервером, посредством Twitter или Telegram, и запрашивала дальнейшие инструкции с помощью запросов HTTP POST. В ответ вредонос получал APK для скачивания, который дроппер устанавливал на зараженное устройство.

Проникнув в систему, Anubis начинал собирать банковскую информацию жертвы, используя для этого встроенный кейлоггер или делая снимки экрана, когда пользователь взаимодействовал с банковскими и финансовыми приложениями. По данным исследователей, троян атаковал 377 различных банков и приложений из 93 стран мира, а также приложения Amazon, eBay и PayPal.

Напомню, что еще в прошлом году специалисты Sophos выяснили, что помимо функциональности банкера Anubis имеет и другие возможности: малварь может работать как троян удаленного доступа (запись аудио, отслеживание местоположения), как шифровальщик, может рассылать SMS-спам и подписывать своих жертв на платные сервисы.

В настоящее время оба приложения, распространявшие Anubis, уже были удалены из каталога Google Play.

Источник

Последние новости