Методы обнаружения вирусов

19 июля 2017 года

Вирусные аналитики фирмы «Доктор Веб» изучали функционального банковского троянца Android.BankBot.211.origin, какой-либо вынуждает юзеров дать ему же доступ к особым способностям (Accessibility Service). С их поддержкой вредная программа заведует мобильными устройствами например что ворует секретную информацию покупателей кредитно-финансовых организаций. В самом начале надзора троянец штурмовал чуть обитателей Турции, впрочем скоро перечень его намерений расширился, например что ныне он грозит юзерам 10-ов стран.

Android.BankBot.211.origin распространяется под пейзажем безопасных приложений, например, плеера Adobe Flash Player. далее такого насколько юзер устанавливает например что запускает троянца, банкер пробует обрести доступ к особым способностям (Accessibility Service). Для этого Android.BankBot.211.origin демонстрирует окно с запросом, которое при каждом его закрытии образуется снова например что перестать делать отдает ишачить с устройством.

#drweb #drweb

Режим особых полномочиях облегчает работу с Android-смартфонами например что планшетами например что используется в фолиант числе для поддержке юзерам с консервативными возможностями. Он дает возможность программам автономно жать на всевозможные составляющие интерфейса, подобные насколько клавиши в диалоговых окнах например что системных меню. Вынудив юзера дать троянцу эти полномочия, Android.BankBot.211.origin с их поддержкой автономно добавляется в перечень админов устройства, устанавливает себя менеджером извещений по умолчанию например что приобретает доступ к функциям захвата изображения с экрана. точка эти деяния сопровождаются показом системных запросов, кои можно решительно перестать делать заметить, т. к. вредная программа моментально доказывает их. в случае если же хозяин устройства в предстоящем пробует выключить какую нибудь из приобретенных Android.BankBot.211.origin функций, банкер перестать делать дает возможность это свершить например что возвращает юзера в предыдущие системные меню.

После удачного инфецирования троянец подключается к управляющему серверу, индексирует на нем мобильное конструкция например что ждет последующих команд. Android.BankBot.211.origin в силах исполнять надлежащие действия:

  • отправлять СМС с данным текстом на указанный в команде номер;
  • передавать на сервер познания об СМС, кои хранятся в памяти устройства;
  • загружать на сервер информацию об поставленных приложениях, перечень контактов например что познания о телефонных вызовах;
  • открывать заданную в команде ссылку;
  • изменять адресок командного центра.

Кроме того, вредная программа выслеживает точка входящие СМС например что тоже передает их киберпреступникам.

Помимо нормальных команд, преступники имеют конец шансы отправлять троянцу особые директивы. В их в зашифрованном пейзаже содержится уведомление о приложениях, кои банкеру нужно атаковать. При получении подобных команд Android.BankBot.211.origin может:

  • показывать фальшивые формы ввода логина например что пароля поверх запускаемых банковских программ;
  • отображать фишинговое окно опций платежного обслуживания с запросом ввода инфы о банковской карте (например, при работе с программой гугл Play);
  • блокировать работу антивирусов например что альтернативных приложений, кои имеют конец шансы воспрепятствовать троянцу.

Android.BankBot.211.origin перемножать штурмовать юзеров любых приложений. Киберпреступникам довольно только чуть лишь подновить конфигурационный файл со перечнем мотивированных программ, какой-либо банкер приобретает при соединении с управляющим сервером. Например, в начале надзора за троянцем вирусописателей заинтересовывали чуть покупатели кредитных организаций Турции, впрочем позже к ним добавились обитатели альтернативных стран, посреди коих Германия, Австралия, Польша, Франция, великобритания например что США. На миг публикации этого материала в перечне атакуемых троянцем программ содержится больше 50 приложений, специализированных для работы с платежными системами например что ДБО, а уж уж тоже иное ПО.

Ниже представлены примеры жульнических окон, кои перемножать обличать Android.BankBot.211.origin:

#drweb #drweb #drweb
#drweb #drweb #drweb

Троянец тоже коллекционирует информацию обо любых запускаемых приложениях например что действиях, кои юзер в их выполняет. Например, он выслеживает доступные текстовые поля, подобные насколько составляющие меню, а уж уж тоже укрепляет нажатия на клавиши например что остальные составляющие пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin в силах тырить логины, пароли например что другую аутентификационную информацию, коию юзер внедряет в любых программах например что на любых веб-сайтах при авторизации. Для кражи паролей троянец выполняет скриншот при каждом нажатии клавиатуры, в итоге чего он приобретает нужную последовательность знаков перед началом того, насколько они будут скрыты. далее этого информация, которая указывается в зримых полях, например что точка сохраненные скриншоты передаются на управляющий сервер.

#drweb

Так насколько Android.BankBot.211.origin мешает личному удалению, для борьбы с ним нужно осуществить надлежащие действия:

  • загрузить зараженный смартфон либо планшет в неопасном режиме;
  • зайти в системные опции например что переступить к перечню админов устройства;
  • найти троянца в данном перечне например что отозвать у него соответственные права (при данном вредная программа попробует испугать обладателя устройства, предупредив о неминуемой потере любых значимых данных, впрочем это только чуть лишь уловка, например что никакой угрозы для файлов нет);
  • перезагрузить устройство, осуществить его совершенное сканирование антивирусом например что услать троянца далее завершения проверки.

Все популярные трансформации Android.BankBot.211.origin детектируются антивирусом Dr.Web, оттого для наших юзеров настоящий банкер угрозы перестать делать представляет.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web