Вирусные аналитики компании «Доктор Веб» исследовали новую троянскую программу, заражающую смартфоны и планшеты под управлением ОС Android. Программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов.

Android.BankBot.34.origin может начать свою деятельность только после установки в систему самим владельцем мобильного устройства. Для увеличения вероятности установки и запуска троянца авторы распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ, причем приложение для имитации может быть выбрано абсолютно любое. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, поскольку в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении ОС.

После инициализации Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, что отчасти затрудняет деинсталляцию вредоносного приложения. Кроме того, если программа была запущена самим владельцем смартфона или планшета, троянец удаляет созданный им ранее ярлык.

Фактически Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый напрямую зависит от поведения пользователя и задействуется, когда тот пытается запустить одно из приложений, которые интересуют злоумышленников. Если владелец инфицированного устройства запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. Для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вызвать как можно меньше подозрений у жертв. Подобным образом киберпреступники атакуют мобильные приложения Google Play и Google Play Music, Gmail, WhatsApp, Viber, Instagram, Skype, «ВКонтакте», «Одноклассники», Facebook и Twitter. Вся введенная жертвой информация в конечном итоге передается троянцем на управляющий сервер.

Второй сценарий атаки не зависит от действий пользователя и происходит только в соответствии с указаниями, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

  • начать или остановить перехват входящих и исходящих СМС;
  • выполнить USSD-запрос;
  • внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
  • очистить список блокируемых номеров;
  • передать на сервер информацию об установленных на устройстве приложениях;
  • выполнить отправку СМС-сообщения;
  • передать на сервер идентификатор вредоносной программы;
  • отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца мобильного устройства отправлять и перехватывать СМС-сообщения, эту программу можно использовать в качестве банковского троянца для похищения денежных средств при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, при помощи USSD-команд переведя их на свой телефонный номер. Список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и зависит от текущих потребностей создателей троянца. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Способность троянца вывести на экран любое сообщение или диалоговое окно произвольной формы и содержания открывает практически неограниченные возможности совершения самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из соцсетей, злоумышленники могут изменить пароль доступа к ней и отдать программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, функционал вредоносной программы представляет серьезную опасность для владельцев мобильных Android-устройств.

Во избежание заражения устройств данным троянцем специалисты компании «Доктор Веб» рекомендуют пользователям не устанавливать приложения, полученные из сомнительных источников, а также по возможности запретить загрузку программ, минуя каталог Google Play. Кроме того, при установке приложений необходимо обращать внимание на функции, доступ к которым они запрашивают: если программа вызывает сомнения, лучше отказаться от ее инсталляции.

Запись для детектирования Android.BankBot.34.origin внесена в вирусную базу компании «Доктор Веб», «Антивирус Dr.Web для Android» и «Антивирус Dr.Web для Android Light» обеспечивают защиту от него.