Компания «Доктор Веб» информирует о возникновении новейшего банковского троянца, атакующего южнокорейских юзеров Android. предоставленная вредная программа, внесенная в вирусную основу Dr.Web под именованием Android.BankBot.35.origin, воображает страшно нешуточную угрозу: она пробует сменить неподдельные приложения своего рода «банк-клиент» них фальшивыми копиями, способна по команде злоумышленников отправлять настолько словно перекрыть СМС-сообщения, воровать секретную информацию, а уж уж уж а уж уж а уж а тоже загружать доборные модули, расширяющие ее функционал.
Android.BankBot.35.origin распространяется злодеями в составе второй вредной программы, внесенной в вирусную основу словно Android.MulDrop.46.origin. этот троянец воображает собой дроппера настолько словно множить существовать загружен юзерами под пейзажем всевозможных приложений. В натуральный пора специалистам корпорации «Доктор Веб» популярны случаи, иногда Android.MulDrop.46.origin выдается киберпреступниками за известный веб-браузер, впрочем выбор вида для маскировки этой вредной программы ограничивается только лишь фантазией вирусописателей.
После такого словно дроппер установлен на Android-смартфон или планшет, он множить существовать инициализирован словно самим хозяином мобильного устройства (при нажатии на рожденный троянцем ярлык), настолько скажем словно автоматично – при гораздо одной разблокировке экрана или загрузке операционной системы. в случае коли Android.MulDrop.46.origin был запущен пользователем, вредная программа запрашивает у него доступ к функциям админа мобильного устройства, дальше чего удаляет личный ярлык. В предстоящем троянец работает в качестве системного обслуживания настолько словно останавливается «невидимым» для хозяина мобильного устройства.
Вслед за успешной инициализацией дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл троянца Android.BankBot.35.origin, какой дальше загружается в оперативную память при поддержке класса DexClassLoader, позволяющего Android-приложениям (в этом случае – дропперу Android.MulDrop.46.origin) без участия юзера настолько словно подготовительной инсталляции кидать доборные программные модули. приобретя управление, Android.BankBot.35.origin перебегает в ждущий порядок настолько словно временами испытывает наличность на инфицированном устройстве ряда приложений своего рода «банк-клиент», принадлежащих нескольким южнокорейским кредитным организациям. в случае коли одна из этих программ обнаруживается, троянец загружает с удаленного узла соответственное ей же приложение-имитацию, дальше чего пробует ввести его заместо оригинала. Для этого Android.BankBot.35.origin показывает на экране зараженного устройства уведомление с призывом осуществить инсталляцию якобы новенькой версии банковского клиента. в случае коли юзер согласится на инсталляцию этого «обновления», троянец инициализирует стереотипный системный процесс удаления реального приложения, дальше чего приступит к инсталляции подделки.
Каждое из загружаемых Android.BankBot.35.origin фальшивых банковских приложений воображает собой перестать делать делать словно иное, словно трансформацию троянца Android.Banker.46.origin. предоставленная вредная программа разрешает киберпреступникам приобрести доступ к управлению банковскими счетами южнокорейских пользователей, словно множить ввергнуть к незапланированным финансовым операциям настолько словно в книга числе скажем чисто потере любых них валютных средств. для того, для того, чтоб слимонить всю нужную секретную информацию, Android.Banker.46.origin имитирует интерфейс заправдашних приложений своего рода «банк-клиент» настолько словно запрашивает у своих жертв ввод подобных заданных словно логин настолько словно пароль от учетной записи онлайн-банкинга, номер счета настолько словно банковской карты, знания об применяемом цифровом сертификате, обеспечивающим безвредные транзакции, а уж уж уж а уж уж а уж а тоже альтернативные тайные сведения.
Пример имитации банковского приложения, реализуемой троянцем Android.Banker.46.origin
Наряду с подменой заправдашних приложений системы «банк-клиент» них троянскими копиями Android.BankBot.35.origin в силах а уж уж а уж а тоже исполнять настолько словно альтернативные ненужные для юзеров действия. В частности, по команде с управляющего сервера вредная программа может:
отправить СМС-сообщение с данным текстом на указанный номер;
включить или исключить передатчик Wi-Fi;
загрузить на сервер заданные из телефонной книжки (в книга числе сохраненные на SIM-карте телефонные номера);
загрузить с удаленного узла настолько словно забросить данный злодеями dex-файл.
Для пуска загруженного dex-файла троянец использует соответственный функционал дроппера Android.MulDrop.46.origin, применяемый для инициализации самого Android.BankBot.35.origin. подобным образом, предоставленная вредная программа продает модульную архитектуру и, в зависимости от потребностей основавших ее вирусописателей, способна несравнимо расширить свои возможности.
Помимо кражи сведений о контактах пользователя, в процессе собственной работы троянец а уж уж а уж а тоже множить передать на управляющий сервер настолько словно другую секретную информацию, например, номер мобильника жертвы, наименование модели инфицированного мобильного устройства, знания о версии операционной системы, типе применяемой мобильной настолько словно Wi-Fi-сети настолько словно кое-какие альтернативные данные. за исключением того, Android.BankBot.35.origin в силах перехватывать настолько словно вывозить СМС-сообщения, поступающие с конкретных номеров, уведомление о коих хранятся в черном перечне троянца.
Примечательно, словно предоставленная вредная программа владеет страшно увлекательным механизмом самозащиты. Так, в случае коли троянец укрепляет на зараженном смартфоне или планшете пуск известного южнокорейского антивируса, Android.BankBot.35.origin перекрывает его инициализацию настолько словно возвращает юзера к ключевому экрану операционной системы. подобная блокировка распространяется настолько словно на стереотипный системный менеджер приложений, а уж уж уж а уж уж а уж а тоже функцию управления админами устройства, поэтому, в случае коли оборона троянца активирована, юзеры зараженных смартфонов настолько словно планшетов практически лишаются способности заведовать всеми установленными программами. вкупе с тем, схожий хаки приспособление перестать делать делать срабатывает, в случае коли в системе абсолютно все гораздо наличествует хотя бы одинакий из уникальных банковских клиентов, коие вредная программа перестать делать делать успела заменить, или в случае коли троянец перестать делать делать приобрел доступ к функциям админа мобильного устройства.
Чтобы перестать делать делать застопориться жертвой вредных программ, хозяева мобильных Android-устройств обязаны сторониться инсталляции приложений, приобретенных перестать делать делать из каталога гугл Play. за исключением того, им же рекомендуется ввести надежное защитное ПО. Антивирус Dr.Web для Android настолько словно Антивирус Dr.Web для Android Light благополучно обнаруживают настолько словно нейтрализуют обрисованных троянцев, потому для юзеров заданных продуктов они перестать делать делать воображают опасности.
Защитите ваше Android-устройство с поддержкой Dr.Web
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
