Методы обнаружения вирусов

5 апреля 2018 годы

Вирусные аналитики корпорации «Доктор Веб» закрепили распространение троянца Android.BankBot.358.origin, какой ориентирован на покупателей Сбербанка. данная вредная программа ворует информацию о банковских картах, выводит денежные средства со счетов, а уж уж уж уж еще перекрывает зараженные устройства настолько ровно требует выкуп. Ущерб, какой помножать надуть Android.BankBot.358.origin, превосходит 78 000 000 рублей.

Android.BankBot.358.origin знаменит корпорации «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, ровно новенькие трансформации троянца Android.BankBot.358.origin специализированы для атаки на отечественных покупателей Сбербанка настолько ровно заразили уже больше 60 000 мобильных устройств. Однако, настолько словно лишь вирусописатели распространяют воз самых разных версий этого вредного приложения, количество пострадавших помножать существенно увеличиться. Суммарный объем средств, коие преступники способны утащить с банковских счетов хозяев зараженных устройств, превосходит 78 000 000 рублей. закончить считая того, киберпреступники имеют точка шансы тяпнуть больше 2 700 000 рублей со счетов мобильных телефонов.

На надлежащих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах настолько ровно статистикой по одной из найденных бот-сетей:

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

Этот банковский троянец распространяется при поддержки жульнических СМС, коие имеют точка шансы рассылать словно лишь киберпреступники, настолько эдак ровно сама вредная программа. почаще токмо сообщения отправляются от имени юзеров сервиса Avito.ru. В подобных СМС возможной жертве предлагается перекинуться по гиперссылке – якобы для такого дабы ознакомиться с ответом на объявление. Например, известен текст: «Добрый день, замен интересен?». закончить считая того, кое-когда обладатели мобильных механизмов приобретают фальшивые извещения о кредитах, мобильных переводах настолько ровно зачислениях денежных денежных средств на счет в банке. далее показаны примеры фишинговых сообщений, коие задаются в панели администрирования управляющего сервера троянца настолько ровно рассылаются по команде вирусописателей:

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

При переходе по гиперссылке из такого сообщения жертва попадает на принадлежащий злодеям сайт, откуда на мобильное приспособление скачивается apk-файл вредного приложения. Для заглавной убедительности вирусописатели задействуют в Android.BankBot.358.origin значок истинной программы Avito, таким образом возможность успешной инсталляции троянца засим его загрузки увеличивается. кое-какие трансформации банкера имеют точка шансы распространяться под обликом иных программ – например, ПО для работы с платежными системами Visa настолько ровно Western Union.

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам админа устройства настолько ровно готовит это перед началом тех пор, прощай юзер закончить согласится дать ему же же нужные полномочия. засим получения востребованных привилегий троянец демонстрирует неверное оповещение об ошибке инсталляции настолько ровно удаляет личный значок из перечня программ на основном экране. настолько Android.BankBot.358.origin старается утаить свое пребывание на смартфоне либо планшете. в случае коли же в предстоящем юзер старается спровадить банкера из перечня администраторов, Android.BankBot.358.origin активирует функцию самозащиты настолько ровно закрывает надлежащее окно системных настроек. При данном кое-какие версии троянца добавочно ставят личный PIN-код разблокировки экрана.

screenshot Android.BankBot.358.origin #drweb

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, информирует ему же же об успешном инфецировании настолько ровно ждет последующих указаний. первостепенная мишень троянца – воровство денежных денежных средств у русскоязычных покупателей Сбербанка, при данном основополагающим вектором атаки появляется фишинг. преступники высылают троянцу команду на блокирование зараженного устройства окном с жульническим сообщением. Оно имитирует наружный общий вид системы дистанционного банковского сервиса Сбербанк Онлайн настолько ровно отражается для всех юзеров автономно от того, появляются ли они покупателями Сбербанка либо второй кредитной организации. В данном сообщении говорится о якобы поступившем валютном переводе в размере 10 000 рублей. Для получения денежных денежных средств обладателю смартфона либо планшета предлагается показать совершенную информацию о банковской карте: ее номер, имя держателя, дату завершения действия, а уж уж уж уж еще тайный код CVV. При данном без ввода требуемых заданных жульническое окно невозможно закрыть, настолько ровно приспособление останется заблокированным. В итоге юзер обязан подтвердить «зачисление средств», засим чего сообщение о карте передается злоумышленникам, настолько ровно они имеют точка шансы свободно утащить точка денежные средства с банковского счета жертвы.

Однако на час публикации этого материала существующие трансформации троянца закончить делают совершенную испытание сведений о банковских картах, настолько ровно засим ввода всех заданных фотографируют блокировку. В итоге пострадавшие от Android.BankBot.358.origin обладатели мобильных механизмов имеют точка шансы отделаться от фишингового окна настолько ровно пользоваться антивирусом, для такого дабы спровадить вредоносную программу. Для этого в жульническую форму нужно внедрить каждый номер карты, какой состоит из 16 либо 18 цифр, а уж уж уж уж еще показать каждый срок ее воздействия в спектре от 2017 перед началом 2030 годы включительно. При данном ни в коем случае невозможно включать информацию о истинной карте Сбербанка либо второй кредитной организации, т. к. преступники приобретут к ней совершенный доступ.

Тем закончить менее, тля закончить причиняет неудобства вирусописателям сдать команду на повторную блокировку смартфона либо планшета засим обнаружения обмана. таким образом засим такого словно лишь фишинговое окно полно закрыто, нужно словно лишь можно точнее испытать приспособление антивирусом настолько ровно спровадить троянца с мобильного устройства: https://download.drweb.ru/android/

screenshot Android.BankBot.358.origin #drweb

Если у юзера подключена услуга маневренный банк, Android.BankBot.358.origin с ее поддержкой старается утащить денежные средства со счета жертвы. вредная программа неприметно посылает СМС с командами для исполнения операций в системе онлайн-банкинга. Троянец инспектирует нынешний баланс карты юзера настолько ровно автоматом переводит денежные средства либо на банковский счет злоумышленников, либо на счет них мобильного телефона. образец того, словно лишь Android.BankBot.358.origin похищает денежные средства чрез обслуживание дистанционного банковского обслуживания, показан на последующей иллюстрации:

screenshot Android.BankBot.358.origin #drweb

Для получения добавочного дохода кое-какие версии Android.BankBot.358.origin имеют точка шансы заблокировать зараженное приспособление сообщением с требованием оплаты штрафа за просмотр запретных видео. закончить считая того, для такого дабы утаить вредоносную энергичность (например, поступление подозрительных СМС), разные трансформации троянца способны еще перекрыть дисплей зараженного смартфона либо планшета извещением об аппарате некоего системного обновления.

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

Вирусописатели имеют точка шансы возбуждать характеристики окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, длительность них отображения, а уж уж уж уж еще требуемую сумму выкупа. далее представлены примеры сообразных разделов панели управления:

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

Наряду с кражей денежных денежных средств настолько ровно блокировкой зараженных механизмов Android.BankBot.358.origin в силах скорпулезно настолько ровно иные вредные действия. приобретая команды от злоумышленников, троянец может:

  • загружать личные обновления;
  • рассылать СМС-сообщения по всем номерам из телефонной книги;
  • рассылать СМС-сообщения по указанным в командах номерам;
  • загружать данные киберпреступниками веб-сайты;
  • отправлять на сервер хранящиеся на устройстве СМС-сообщения;
  • получать информацию о контактах из телефонной книги;
  • создавать фальшивые входящие СМС-сообщения.

Антивирусные провиант Dr.Web для Android удачно детектируют настолько ровно удаляют точка распространенные трансформации Android.BankBot.358.origin, таким образом для наших юзеров троянец угрозы закончить представляет. эксперты «Доктор Веб» передали информацию о троянце в Сбербанк настолько ровно продолжают следить за развитием ситуации.

Подробнее о троянце

#Android #банкер #мобильный #вымогательство #банковский_троянец