Android.BankBot – грозное оружие киберпреступников!

Впервые троянец Android.BankBot.149.origin был замечен компанией «ДокторВеб» в начале 2016 года. Но вскоре хакеры разместили в публичном доступе открытый исходный код. А это повлекло за собой волну модифицированных копий, которые можно встретить и сейчас. Главная опасная особенность этих программ – они способны похищать данные пользователей, используемые для входа в приложения, с помощью которых торгуют криптовалютами. Также параллельно они собирают личные данные пользователей.

В данной статье мы постараемся максимально подробно рассказать о вредоносных приложения, их модификациях и особенностях. А самое главное – расскажем, как избежать кражи личных данных и финансов. Ведь именно эти две вещи интересуют разработчиков столь опасного троянского приложения.

Когда этот троянец только появился, он представлял собой довольно типичный вирус для банков, который при помощи подставных окон похищал чужие аккаунты онлайн банкинга. Делалось это с одной единственной целью – завладеть информацией о платежных картах, счетах и иметь возможность осуществлять незаконные переводы. При этом вирус мог получать СМС с чужих телефонов для получения временных паролей. С этим набором функций можно было осуществлять банковские переводы с чужих аккаунтов и подтверждать их.

И вот, сразу после появления исходного кода программы, многие хакеры стали создавать свои версии троянцев, созданных по его подобию. Далее дело было за малым – при помощи каталога Google Play они раздавали вредоносные приложения, замаскированные под обычные и нужные. Все известные банкеры носили название Android.BankBot и отличались только версией.

Одним из первых троянцев, угодивших в базу «ДокторВеб» стал Android.BankBot.250.origin. Впервые аналитикам удалось определить его осенью 2017 года. Эта версия программы всего лишь копировала функции Android.BankBot более ранней версии. При этом способности трояна были довольно впечатляющими:

– отправка СМС с любым текстом на указанный мобильный номер;

– способность заблокировать экран любым окном, в котором содержались открываемые страницы;

– умение выполнять USSD-запросы;

– определение IP-адреса устройства жертвы;

– формирование списков установленных приложений;

– демонстрировать push-уведомление с теми, что в коде программы;

– умение копировать все СМС, найденный на устройстве;

– запрашивание необходимых разрешений для продолжения работы;

– удаление своего установочного файла;

– умение прекратить свою работу в любой момент

– копирование всех номеров, сохраненных на устройстве и рассылка по ним СМС

– определение местоположения устройства

Ниже вы можете увидеть панель управления первой версии этого троянца:

Но с выходом новых обновлений функционал Android.BankBot.250.origin совершенствовался и становился всё более опасным. К примеру, одна из версий давала возможность получать доступ к зараженному устройству удаленно. Это позволяло банкеру работать в качестве приложения для удаленного администрирования. Еще одна функция позволяла искать и составлять списки файлов, хранящихся в памяти зараженного устройства. А также предполагала возможность загрузка любого такого файла на главный сервер, либо же удаление.

Программа позволяла отслеживать любые изменения, если планшетом пользовались и делать скриншоты всего происходящего на экране с мгновенной отправкой на сервер злоумышленников. Зачастую эти изображения содержали всю необходимую информацию для кражи персональных данных, либо же денежных средств.

Более того, при желании можно было проводить прослушку жертвы. Используя микрофон, имеющийся в любом смартфоне. Таким образом, открывались хорошие возможности для кибершпионажа. И они были практически неограниченные.

 

Было замечено, что авторы кода добавляли в названиях функций и других элементов кода три буквы «VNС», которые можно расшифровать как Virtual Network Сomputing. То есть здесь говориться об удаленном доступе к главному экрану устройства. Примечательно, что в троянце Android.BankBot.325.origin эта функция никак не была реализована, а использовалась она исключительно для удобства.

Однако, это свидетельствует о том, что злоумышленники размышляли над тем, как удаленно управлять зараженными устройствами. Так банкер было решено превратить в более функциональное троянское приложение. Здесь вы можете увидеть часть кода Android.BankBot.325.origin, где видна вышеупомянутая аббревиатура:

К наиболее совершенным модификациям можно отнести последнюю версию Android.BankBot.325.origin, в которой еще больше функций. Среди них:

– отправка СМС с любым текстом на указанный мобильный номер;

– способность заблокировать экран сторонним окном, в котором содержались открываемые страницы;

– умение изменить управляющий сервер;

– умение выполнять USSD-запросы;

– отправка на главный сервер всех СМС, скопированных с устройства;

– перехват символов с клавиатуры;

– определение IP-адреса устройства жертвы;

– формирование списков установленных приложений;

– демонстрировать push-уведомление с тем, что в коде программы;

– умение копировать все СМС, найденный на устройстве

– запрашивание необходимых разрешений для продолжения работы;

– удаление своего установочного файла;

– сбор информации об установленных приложениях;

– переадресация входящих и исходящих звонков;

– умение прекратить свою работу в любой момент;

– копирование всех номеров и рассылка по ним СМС;

– определение местоположения устройства

– умение расшифровать файлы;

– возможность открыть в браузере подставной веб-сайт;

– блокировка файлов с целью последующего шантажа;

На следующем фото вам представляется возможность увидеть весь список команд, которые возможно было отправить трояну через административную панель:

Также производится и настройка основных команд, которые передают приложению. К примеру, злоумышленники имеют возможность создать свой ключ и указать сумму выкупа в любой криптовалюте, которая будет потребована у жертвы.

Также можно создать фэйковое уведомление, чтобы спровоцировать пользователя обратится к банковскому приложению. И как только жертва делает это, она видит поддельную форму ввода логина и пароля, которые тут же будут переданы злоумышленникам. Далее они сами заходят в онлайн банкинг и производят все необходимые махинации.

Так же осуществляются настройки фишинговых окон со всеми сопутствующими параметрами.

Об уровне приложения Android.BankBot.325 говорит тот факт, что оно способно создавать подложные формы авторизации для более чем 150 программ. Естественно, среди них преобладают программы доступа онлайн-банкингам. Причем из совершенно разных стран и регионов.

А в последнее время были добавлены также довольно известные приложения для работы и торговли криптовалютами. Разумеется, Android.BankBot.325 далеко не первый банкер, ворующий логины и пароли от подобных программ. Но именно в нём вид подставных окон сильно схож с интерфейсами оригинальных приложений.

Вот некоторые примеры поддельных форм авторизации:

Аналитики «ДокторВеб» выяснили основные страны, где действуют преступники. В списке стран Россия и Украина. Неожиданно туда попали Япония и Новая Зеландия. Примечательно, что среди стран нет никакой логической цепочки. Они очень разные как по расположению, так и уровню жизни.

Но стоит признать, что злоумышленникам не составит никакого труда в короткие сроки расширить географию своей незаконной деятельности. Поэтому ждать массовых заражений компьютеров стоит где угодно. И лучше к этому подготовится заранее.

Разумеется, разработчики банковских приложений обязаны со своей стороны принять меры. И постоянно быть на шаг впереди – иначе их клиенты будут терять деньги. А банк или другое финансовое учреждение будет вынуждено смирится с серьезными репутационными потерями.

Ожидается, что создатели трояна будут только совершенствовать свое детище, расширяя его функционал. Скорее всего в скором времени в него будут добавлены уникальные возможности для удаленного контроля над устройствами жертв. При этом мы рады вам сообщить, что программа “ДокторВеб” с легкостью определяет и деактивирует все известные версии этого трояна!

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.