Методы обнаружения вирусов

19 июля 2017 года

Вирусные аналитики корпорации «Доктор Веб» обследовали функционального банковского троянца Android.BankBot.211.origin, который-нибудь вынуждает юзеров дать ему же доступ к особым способностям (Accessibility Service). С их поддержкой вредная программа заведует мобильными устройствами примерно что ворует секретную информацию покупателей кредитно-финансовых организаций. В самом начале надзора троянец штурмовал едва-только обитателей Турции, но скоро перечень его намерений расширился, примерно что сейчас он грозит юзерам 10-ов стран.

Android.BankBot.211.origin распространяется под пейзажем безвредных приложений, например, плеера Adobe Flash Player. потом такого как-нибудь же юзер устанавливает примерно что запускает троянца, банкер старается приобрести доступ к особым способностям (Accessibility Service). Для этого Android.BankBot.211.origin отображает окно с запросом, которое при каждом его закрытии возникает опять-таки примерно что перестать делать отдает ломить с устройством.

#drweb #drweb

Режим особых способностей облегчает работу с Android-смартфонами примерно что планшетами примерно что используется в книга числе для поддержке юзерам с консервативными возможностями. Он дает возможность программам независимо налегать на разные составляющие интерфейса, подобные как-нибудь же клавиши в диалоговых окнах примерно что системных меню. Вынудив юзера дать троянцу эти полномочия, Android.BankBot.211.origin с их поддержкой независимо добавляется в перечень админов устройства, устанавливает себя менеджером извещений по умолчанию примерно что приобретает доступ к функциям захвата изображения с экрана. конец эти деяния сопровождаются показом системных запросов, коие можно решительно перестать делать заметить, т. к. вредная программа моментально доказывает их. коли же владетель устройства в предстоящем старается выключить какую нибудь из приобретенных Android.BankBot.211.origin функций, банкер перестать делать дает возможность это совершить примерно что возвращает юзера в предыдущие системные меню.

После удачного инфецирования троянец подключается к управляющему серверу, индексирует на нем мобильное приспособление примерно что ждет последующих команд. Android.BankBot.211.origin в силах исполнять последующие действия:

  • отправлять СМС с данным текстом на указанный в команде номер;
  • передавать на сервер познания об СМС, коие хранятся в памяти устройства;
  • загружать на сервер информацию об поставленных приложениях, перечень контактов примерно что познания о телефонных вызовах;
  • открывать заданную в команде ссылку;
  • изменять адресок командного центра.

Кроме того, вредная программа выслеживает конец входящие СМС примерно что а уж уж а уж тоже передает их киберпреступникам.

Помимо нормальных команд, преступники имеют шабаш шансы отправлять троянцу особые директивы. В их в зашифрованном облике содержится оповещение о приложениях, коие банкеру нужно атаковать. При получении подобных команд Android.BankBot.211.origin может:

  • показывать фальшивые формы ввода логина примерно что пароля поверх запускаемых банковских программ;
  • отображать фишинговое окно опций платежного обслуживания с запросом ввода инфы о банковской карте (например, при работе с программой гугл Play);
  • блокировать работу антивирусов примерно что остальных приложений, коие имеют шабаш шансы воспрепятствовать троянцу.

Android.BankBot.211.origin множить нападать юзеров каких бы то ни было приложений. Киберпреступникам довольно едва-лишь подновить конфигурационный файл со перечнем мотивированных программ, который-нибудь банкер приобретает при соединении с управляющим сервером. Например, в начале надзора за троянцем вирусописателей заинтересовывали едва-только покупатели кредитных организаций Турции, но позже к ним добавились обитатели остальных стран, посреди коих Германия, Австралия, Польша, Франция, великобритания примерно что США. На мгновение публикации этого материала в перечне атакуемых троянцем программ содержится наиболее 50 приложений, специализированных для работы с платежными системами примерно что ДБО, а уж уж а уж а тоже альтернативное ПО.

Ниже представлены примеры жульнических окон, коие множить демонстрировать Android.BankBot.211.origin:

#drweb #drweb #drweb
#drweb #drweb #drweb

Троянец а уж уж а уж тоже коллекционирует информацию обо каких бы то ни было запускаемых приложениях примерно что действиях, коие юзер в их выполняет. Например, он выслеживает доступные текстовые поля, подобные как-нибудь же составляющие меню, а уж уж а уж а тоже укрепляет нажатия на клавиши примерно что остальные ингридиенты пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin в силах лямзить логины, пароли примерно что другую аутентификационную информацию, коию юзер внедряет в каких бы то ни было программах примерно что на каких бы то ни было веб-сайтах при авторизации. Для кражи паролей троянец готовит скриншот при каждом нажатии клавиатуры, в итоге чего он приобретает нужную последовательность знаков перед началом того, как-нибудь же они будут скрыты. потом этого информация, которая указывается в зримых полях, примерно что конец сохраненные скриншоты передаются на управляющий сервер.

#drweb

Так как-нибудь же Android.BankBot.211.origin мешает личному удалению, для борьбы с ним нужно реализовать последующие действия:

  • загрузить зараженный смартфон либо планшет в безобидном режиме;
  • зайти в системные опции примерно что перепрыгнуть к перечню админов устройства;
  • найти троянца в данном перечне примерно что отозвать у него сообразные права (при данном вредная программа попробует испугать обладателя устройства, предупредив о неминуемой потере каких бы то ни было немаловажных данных, но это едва-лишь уловка, примерно что никакой угрозе для файлов нет);
  • перезагрузить устройство, реализовать его совершенное сканирование антивирусом примерно что отослать троянца потом завершения проверки.

Все распространенные трансформации Android.BankBot.211.origin детектируются антивирусом Dr.Web, соответственно для наших юзеров данный банкер угрозе перестать делать представляет.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web