Вирусные аналитики фирме «Доктор Веб» выявили в каталоге гугл Play троянца , какой грозил покупателям бразильских кредитных организаций. данный банкер пользуется особые полномочия (Accessibility Service) платформы Android. С их поддержкой он помножать независимо ворочать зараженными мобильными устройствами так словно воровать тайные заданные их владельцев.
Киберпреступники распространяли под пейзажем приложений, якобы позволяющих наблюдать за юзерами Android-смартфонов так словно планшетов. Троянец скрывался в программах с наименованиями WLocaliza Ache J, WhatsWhere Ache J так словно WhatsLocal Ache J. опосля воззвания профессионалов «Доктор Веб» в корпорацию гугл та оперативно удалила их из гугл Play. Банкера успели навалить свыше 2000 пользователей.
При запуске старается приобрести доступ к функциям особых полномочиях (Accessibility) ОС Android, раскрывая меню системных опций так словно предлагая юзеру активировать сообразный параметр. в случае в случае коли вероятная жертва согласится дать троянцу запрошенные полномочия, сумеет неприметно ворочать программами, независимо жать на кнопочки так словно воровать содержимое функциональных окон приложений.
Когда юзер отдает банкеру позволение на работу с функциями особых возможностей, тот закрывает свое окно, запускает вредный обслуживание так словно с его поддержкой продолжает влиять в сокрытом режиме. дальше запрашивает доступ к показу экранных форм поверх запущенных программ. данная функция в предстоящем нужна троянцу для демонстрации фишинговых окон. Благодаря приобретенному прежде разрешению применять особые полномочия механично надавливает на абсолютно все кнопочки с текстом «PERMITIR» («Разрешить»), коие возникают при запросе полномочий. В результате, в случае в случае коли языком системы появляется португальский, банкер независимо гарантирует для себя необходимые привилегии.
Кроме того, вредное приложение пользуется опции особых полномочиях так словно для самозащиты, отслеживая работу ряда антивирусов так словно всевозможных утилит. При их запуске он старается притворить их окна, 4 раза попорядку нажимая кнопочку «Назад».
соединяется с удаленным узлом для приема начальных опций так словно в невидимом окне WebView перебегает по данной вирусописателями ссылке. В итоге нескольких перенаправлений на загруженном медиа-сайте троянец приобретает конечную ссылку, в коей зашифрованы айпишника 2-ух управляющих серверов. дальше подключается к единому из их так словно воспринимает снимок с именами приложений. Троянец проверяет, какие из их поставлены на устройстве, так словно уведомляет об конкретно в данном сервер. дальше банкер попеременно посылает чуток особым образом сформированных запросов. В зависимости от опций сервера в отзвук приобретает команду на старт той либо другой программы. На миг анализа он мог пускать ПО кредитных организаций Banco Ita S.A. так словно Banco Bradesco S.A., а уж еще установленное по умолчанию приложение для работы с СМС.
При запуске программы Banco Ita троянец с применением опции особых полномочиях считывает содержимое ее окна так словно передает злодеям информацию о балансе банковского счета пользователя. дальше он независимо делает навигацию снутри приложения так словно перебегает в ветвь управления учетной записью. впоследствии троянец копирует так словно посылает вирусописателям источник iToken – код безопасности, какой употребляется для испытания электронных транзакций.
После пуска приложения Bradesco банкер считывает информацию об аккаунте жертвы так словно старается механично поместиться в него, вводя приобретенный от управляющего сервера PIN-код. копирует заданные о сумме на счете юзера так словно сообща с приобретенными прежде сведениями об учетной записи передает их киберпреступникам.
Получив команду на пуск приложения для работы с СМС, банкер раскрывает его, считывает так словно предохраняет текст доступных извещений так словно посылает их на сервер. При конкретно в данном он выделяет СМС, поступившие от банка CaixaBank, S.A., так словно передает их отдельным запросом.
Кроме того, создатели применяют банкера для проведения фишинг-атак. Троянец выслеживает пуск программ Itaucard Controle seu carto, Banco do Brasil, Banco Ita, CAIXA, Bradesco, Uber, Netflix так словно Twitter. в случае в случае коли банкер обнаруживает, словно одно из их зачин работу, он отражает поверх него окно с жульнической веб-страницей, которая загружается со второго управляющего сервера. данная вебстраница имитирует наружный обличье атакуемого приложения. На ней у юзера помножать иметься запрошена оповещение об учетной записи, номере банковского счета, познания о банковской карте, логины, пароли так словно альтернативные тайные данные.
Пример подобных фишинговых страниц показан на изображениях ниже:
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web