Популярность мобильного банкинга по-прежнему не дает покоя киберпреступникам, поэтому неудивительно, что вирусные аналитики компании «Доктор Веб» продолжают фиксировать появление все новых банковских троянцев, предназначенных для кражи денег у владельцев Android-устройств.
На этот раз внимание наших специалистов привлек очередной представитель семейства Android.BankBot, о котором и пойдет речь в настоящем материале.
Обнаруженный вирусными аналитиками «Доктор Веб» троянец, получивший имя Android.BankBot.80.origin, замаскирован злоумышленниками под официальное приложение-клиент одной из российских кредитных организаций и имеет соответствующее имя, а также значок, скопированный из настоящего банковского клиента для Android. Если обманутый пользователь установит и запустит троянца, тот попытается получить доступ к правам администратора мобильного устройства, демонстрируя соответствующий запрос снова и снова до тех пор, пока жертва не согласится выполнить требуемое действие. После этого Android.BankBot.80.origin удаляет ранее созданный на главном экране ярлык приложения и сразу же начинает вредоносную деятельность.
В частности, троянец сканирует адресную книгу пользователя и отправляет по всем найденным в ней телефонным номерам СМС-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». При переходе по указанному в сообщении веб-адресу получатели данного СМС попадают на мошеннический сайт, якобы связанный с проводимым в настоящее время конкурсом фотографии. С данного веб-портала на мобильные устройства потенциальных жертв автоматически загружается одна из модификаций Android.BankBot.80.origin, детектируемая Антивирусом Dr.Web как Android.SmsBot.472.origin. Кроме того, на этом же на сайте владельцам смартфонов и планшетов под управлением различных операционных систем также предлагается установить специальную программу для участия в процессе голосования за лучшие работы фотографов. Однако это – лишь уловка киберпреступников, призванная «украсить» мошеннический портал: вне зависимости от того, какую мобильную платформу в итоге выберет пользователь, для загрузки ему будет предложен все тот же банкер, предназначенный для заражения ОС Android.
Одновременно с рассылкой СМС-спама Android.BankBot.80.origin соединяется с управляющим сервером и передает на него сообщение об успешном заражении Android-смартфона или планшета. Среди прочего в отправляемом запросе троянец указывает следующую информацию:
название мобильного оператора;
модель устройства;
IMEI-идентификатор;
номер телефона жертвы;
версия ОС;
язык системы.
Затем Android.BankBot.80.origin ожидает поступления дальнейших команд злоумышленников, для чего с определенной периодичностью связывается с удаленным узлом на предмет появления новых указаний вирусописателей. Банкер может выполнить следующие директивы:
call_number – включить переадресацию звонков на указанный номер;
sms_grab – установить временной интервал сокрытия входящих СМС – если сообщения поступают в заданный период, троянец блокирует соответствующие системные уведомления, а сами СМС удаляет;
sms_send – отправить СМС;
ussd – выполнить USSD-запрос;
delivery – выполнить рассылку СМС-сообщения с заданным текстом всем контактам из телефонной книги;
new_url – изменить адрес управляющего сервера.
Основное предназначение данного троянца вполне традиционно – незаметная кража денег у российских клиентов ряда сотовых операторов, кредитных организаций, а также пользователей нескольких популярных платежных систем. В частности, вирусные аналитики «Доктор Веб» зафиксировали проверку банкером баланса мобильного телефона, банковского счета крупной кредитной организации, а также популярной платежной системы. Например, если на счету мобильного телефона жертвы имелись средства, Android.BankBot.80.origin пытался осуществить денежный перевод в пользу злоумышленников с использованием специализированных сервисных номеров, таких как 7878 и 3116. А если средства присутствовали на банковском счете или счете платежной системы, троянец предпринимал попытки похитить их, отправив соответствующую сервисную команду в СМС-сообщении. Кроме этого, банкер пытался получить доступ к личному кабинету сервиса мобильного оператора, а также одной из учетных записей банковского сервиса Visa популярной платежной системы.
