Методы обнаружения вирусов

19 июля 2017 года

Вирусные аналитики фирме «Доктор Веб» изучали функционального банковского троянца Android.BankBot.211.origin, какой вынуждает юзеров дать ему же доступ к особым способностям (Accessibility Service). С их поддержкой вредная программа заведует мобильными устройствами этак что ворует секретную информацию покупателей кредитно-финансовых организаций. В самом начале надзора троянец штурмовал единственно обитателей Турции, тем закончить делать менее скоро перечень его намерений расширился, этак что сейчас он грозится юзерам 10-ов стран.

Android.BankBot.211.origin распространяется под общим видом безопасных приложений, например, плеера Adobe Flash Player. потом такого а уж уж а уж словно юзер устанавливает этак что запускает троянца, банкер пробует обрести доступ к особым способностям (Accessibility Service). Для этого Android.BankBot.211.origin демонстрирует окно с запросом, которое при каждом его закрытии является возобновил этак что закончить делать отдает действовать с устройством.

#drweb #drweb

Режим особых полномочий облегчает работу с Android-смартфонами этак что планшетами этак что используется в книга числе для поддержки юзерам с консервативными возможностями. Он дозволяет программам независимо жать на разные составляющие интерфейса, подобные а уж уж а уж словно кнопочки в диалоговых окнах этак что системных меню. Вынудив юзера дать троянцу эти полномочия, Android.BankBot.211.origin с их поддержкой независимо добавляется в перечень админов устройства, устанавливает себя менеджером извещений по умолчанию этак что приобретает доступ к функциям захвата изображения с экрана. баста эти воздействия сопровождаются показом системных запросов, кои можно совсем закончить делать заметить, т. к. вредная программа моментально доказывает их. коли же собственник устройства в предстоящем пробует выключить какую нибудь из приобретенных Android.BankBot.211.origin функций, банкер закончить делать дозволяет это предпринять этак что возвращает юзера в предыдущие системные меню.

После удачного инфецирования троянец подключается к управляющему серверу, индексирует на нем мобильное конструкция этак что ждет последующих команд. Android.BankBot.211.origin в силах исполнять последующие действия:

  • отправлять СМС с данным текстом на указанный в команде номер;
  • передавать на сервер познания об СМС, кои хранятся в памяти устройства;
  • загружать на сервер информацию об поставленных приложениях, перечень контактов этак что познания о телефонных вызовах;
  • открывать заданную в команде ссылку;
  • изменять адресок командного центра.

Кроме того, вредная программа выслеживает баста входящие СМС этак что тоже передает их киберпреступникам.

Помимо нормальных команд, преступники имеют точка шансы отправлять троянцу особые директивы. В их в зашифрованном пейзаже содержится уведомление о приложениях, кои банкеру очень важно атаковать. При получении подобных команд Android.BankBot.211.origin может:

  • показывать фальшивые формы ввода логина этак что пароля поверх запускаемых банковских программ;
  • отображать фишинговое окно опций платежного обслуживания с запросом ввода инфы о банковской карте (например, при работе с программой гугл Play);
  • блокировать работу антивирусов этак что остальных приложений, кои имеют точка шансы воспрепятствовать троянцу.

Android.BankBot.211.origin умножать штурмовать юзеров любых приложений. Киберпреступникам довольно токмо подновить конфигурационный файл со перечнем мотивированных программ, какой банкер приобретает при соединении с управляющим сервером. Например, в начале надзора за троянцем вирусописателей заинтересовывали единственно покупатели кредитных организаций Турции, тем закончить делать менее позже к ним добавились обитатели остальных стран, между коих Германия, Австралия, Польша, Франция, великобритания этак что США. На минута публикации этого материала в перечне атакуемых троянцем программ содержится больше 50 приложений, специализированных для работы с платежными системами этак что ДБО, а уж уж тоже альтернативное ПО.

Ниже представлены примеры жульнических окон, кои умножать изобличать Android.BankBot.211.origin:

#drweb #drweb #drweb
#drweb #drweb #drweb

Троянец тоже коллекционирует информацию обо любых запускаемых приложениях этак что действиях, кои юзер в их выполняет. Например, он выслеживает доступные текстовые поля, подобные а уж уж а уж словно составляющие меню, а уж уж тоже укрепляет нажатия на кнопочки этак что иные составляющие пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin в силах тянуть логины, пароли этак что другую аутентификационную информацию, коию юзер внедряет в любых программах этак что на любых веб-сайтах при авторизации. Для кражи паролей троянец готовит скриншот при каждом нажатии клавиатуры, в итоге чего он приобретает нужную последовательность знаков перед началом того, а уж уж а уж словно они будут скрыты. потом этого информация, которая указывается в зримых полях, этак что баста сохраненные скриншоты передаются на управляющий сервер.

#drweb

Так а уж уж а уж словно Android.BankBot.211.origin мешает личному удалению, для борьбы с ним очень важно осуществить последующие действия:

  • загрузить зараженный смартфон или же планшет в неопасном режиме;
  • зайти в системные опции этак что преступить к перечню админов устройства;
  • найти троянца в данном перечне этак что отозвать у него соответственные права (при данном вредная программа попробует испугать хозяина устройства, предупредив о неминуемой потере любых важнейших данных, тем закончить делать менее это токмо уловка, этак что никакой угрозе для файлов нет);
  • перезагрузить устройство, осуществить его совершенное сканирование антивирусом этак что услать троянца потом завершения проверки.

Все популярные трансформации Android.BankBot.211.origin детектируются антивирусом Dr.Web, отчего для наших юзеров настоящий банкер угрозе закончить делать представляет.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web