Rambler's Top100
Все новости Новости отрасли

Банковский троянец использует «веб-инжекты» для кражи конфиденциальных данных

15 декабря 2015

Троянец Android.ZBot может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников.

Крадущие деньги с банковских счетов троянцы в настоящее время представляют серьезную угрозу для владельцев мобильных устройств под управлением ОС Android. Одним из таких вредоносных приложений является банкер Android.ZBot, различные модификации которого атакуют смартфоны и планшеты российских пользователей с февраля текущего года.

Данный троянец интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО. Полученные специалистами компании «Доктор Веб» данные говорят о том, что зараженные Android.ZBot устройства объединяются в бот-сети, при этом число последних в настоящий момент составляет более десятка. Однако не исключено, что со временем их количество будет только расти, т. к. вирусописатели по-прежнему активно распространяют эту вредоносную программу.

Первая модификация банковского троянца Android.ZBot была обнаружена еще в феврале этого года и получила по классификации Dr.Web имя Android.ZBot.1.origin. Начиная с этого момента вирусные аналитики компании «Доктор Веб» стали пристально следить за активностью данного вредоносного приложения.

Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы (в данном случае – приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.

Если же пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.

Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера банкер выполняет следующие действия:

  • отправляет СМС с заданным текстом на указанный номер;
  • совершает телефонный звонок;
  • отправляет СМС по всем телефонным номерам из книги контактов;
  • перехватывает входящие СМС;
  • получает текущие GPS-координаты;
  • показывает специально сформированное диалоговое окно поверх заданного приложения.

Например, сразу после того как на управляющем сервере регистрируется новое зараженное устройство, троянец получает команду на проверку состояния банковского баланса пользователя. Если вредоносная программа обнаруживает наличие денег, она автоматически переводит заданную злоумышленниками сумму на подконтрольные им счета. Таким образом, Android.ZBot.1.origin может получить доступ к управлению банковскими счетами владельцев мобильных Android-устройств и незаметно для пользователей похитить деньги при помощи специальных СМС-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от банков сообщения с проверочными кодами транзакций.

Примечательно, что часть вредоносного функционала Android.ZBot.1.origin (например, отправка СМС-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.

Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать различную конфиденциальную информацию при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, но механизм ее любопытен. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В настоящий момент троянец контролирует запуск следующих приложений:

  • ru.sberbank.ivom
  • ru.sberbank_sbbol
  • ru.raiffeisennews
  • ru.vtb24.mobilebanking.android
  • PSB.Droid
  • com.idamob.tinkoff.android
  • ru.simpls.brs2.mobbank
  • ru.kykyryza
  • com.smpbank.android
  • ru.ftc.faktura.sovkombank
  • hu.eqlsoft.otpdirektru
  • ru.ftc.faktura.sovkombank
  • uk.co.danwms.fcprem
  • ru.sberbankmobile
  • ru.alfabank.mobile.android
  • ru.alfabank.oavdo.amc
  • com.openbank
  • ru.ucb.android
  • com.idamobile.android.hcb
  • com.idamobile.android.ubrr
  • com.NGSE.Ubrir
  • com.citibank.mobile.ru
  • com.ubrir
  • ru.rshb.mbank
  • com.bssys.android.SCB
  • ru.bpc.mobilebank.android
  • ua.privatbank.ap24.old
  • ru.bspb
  • com.svyaznoybank.ui
  • ru.avangard
  • ru.minbank.android
  • ru.letobank.Prometheus
  • rusfinance.mb.client.android
  • com.artofweb.mkb
  • com.compassplus.InternetBankingJava.wscb
  • ru.stepup.MDMmobileBank
  • ru.abr
  • com.intervale.mobilebank.rosbank
  • ru.pkb
  • ru.stepup.vbank
  • ru.vbrr
  • com.idamobile.android.Trust
  • org.bms.khmb
  • ru.tcb.dbo.android
  • ru.beeline.card
  • ru.rocketbank.r2d2

Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.

 При изучении банкера вирусные аналитики «Доктор Веб» выяснили, что все его известные варианты контролируются киберпреступниками через различные управляющие серверы, адрес каждого из которых хранится в специальной базе данных конкретной версии вредоносного приложения. В результате зараженные различными модификациями Android.ZBot.1.origin мобильные устройства «общаются» только со своими удаленными узлами и образуют самостоятельные бот-сети. В общей сложности специалисты «Доктор Веб» зафиксировали более 20 управляющих серверов троянца, при этом как минимум 15 из них по-прежнему продолжают свою работу. В настоящий момент нашим вирусным аналитикам удалось получить доступ к трем подсетям ботнетаAndroid.ZBot.1.origin. Каждая из них состоит из десятков и даже тысяч инфицированных устройств и насчитывает от 140 до более чем 2300 зараженных смартфонов и планшетов.

Наличие большого числа активных подсетей Android.ZBot.1.origin может говорить о том, что этот банковский троянец представляет собой коммерческий продукт и реализуется вирусописателями через подпольные хакерские площадки, где его приобретают злоумышленники-одиночки или организованные группы киберпреступников. В пользу этого говорит и тот факт, что панель администрирования для бот-сетей, построенных на основе зараженныхAndroid.ZBot.1.origin мобильных устройств, имеет ограниченную лицензию и фактически используется как услуга по подписке. Нельзя исключать и того, что сетевые мошенники не ограничатся атаками на российских пользователей и в скором времени расширят географию применения вредоносного приложения на другие страны, включая Европу и США.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.