Методы обнаружения вирусов

6 декабря 2018 года

Вирусные аналитики фирме «Доктор Веб» выявили в каталоге гугл Play троянца Android.BankBot.495.origin, какой грозил покупателям бразильских кредитных организаций. данный банкер пользуется особые полномочия (Accessibility Service) платформы Android. С их поддержкой он помножать независимо ворочать зараженными мобильными устройствами так словно воровать тайные заданные их владельцев.

Киберпреступники распространяли Android.BankBot.495.origin под пейзажем приложений, якобы позволяющих наблюдать за юзерами Android-смартфонов так словно планшетов. Троянец скрывался в программах с наименованиями WLocaliza Ache J, WhatsWhere Ache J так словно WhatsLocal Ache J. опосля воззвания профессионалов «Доктор Веб» в корпорацию гугл та оперативно удалила их из гугл Play. Банкера успели навалить свыше 2000 пользователей.

screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb

При запуске Android.BankBot.495.origin старается приобрести доступ к функциям особых полномочиях (Accessibility) ОС Android, раскрывая меню системных опций так словно предлагая юзеру активировать сообразный параметр. в случае в случае коли вероятная жертва согласится дать троянцу запрошенные полномочия, Android.BankBot.495.origin сумеет неприметно ворочать программами, независимо жать на кнопочки так словно воровать содержимое функциональных окон приложений.

screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb

Когда юзер отдает банкеру позволение на работу с функциями особых возможностей, тот закрывает свое окно, запускает вредный обслуживание так словно с его поддержкой продолжает влиять в сокрытом режиме. дальше Android.BankBot.495.origin запрашивает доступ к показу экранных форм поверх запущенных программ. данная функция в предстоящем нужна троянцу для демонстрации фишинговых окон. Благодаря приобретенному прежде разрешению применять особые полномочия Android.BankBot.495.origin механично надавливает на абсолютно все кнопочки с текстом «PERMITIR» («Разрешить»), коие возникают при запросе полномочий. В результате, в случае в случае коли языком системы появляется португальский, банкер независимо гарантирует для себя необходимые привилегии.

Кроме того, вредное приложение пользуется опции особых полномочиях так словно для самозащиты, отслеживая работу ряда антивирусов так словно всевозможных утилит. При их запуске он старается притворить их окна, 4 раза попорядку нажимая кнопочку «Назад».

Android.BankBot.495.origin соединяется с удаленным узлом для приема начальных опций так словно в невидимом окне WebView перебегает по данной вирусописателями ссылке. В итоге нескольких перенаправлений на загруженном медиа-сайте троянец приобретает конечную ссылку, в коей зашифрованы айпишника 2-ух управляющих серверов. дальше Android.BankBot.495.origin подключается к единому из их так словно воспринимает снимок с именами приложений. Троянец проверяет, какие из их поставлены на устройстве, так словно уведомляет об конкретно в данном сервер. дальше банкер попеременно посылает чуток особым образом сформированных запросов. В зависимости от опций сервера в отзвук Android.BankBot.495.origin приобретает команду на старт той либо другой программы. На миг анализа он мог пускать ПО кредитных организаций Banco Ita S.A. так словно Banco Bradesco S.A., а уж еще установленное по умолчанию приложение для работы с СМС.

При запуске программы Banco Ita троянец с применением опции особых полномочиях считывает содержимое ее окна так словно передает злодеям информацию о балансе банковского счета пользователя. дальше он независимо делает навигацию снутри приложения так словно перебегает в ветвь управления учетной записью. впоследствии троянец копирует так словно посылает вирусописателям источник iToken – код безопасности, какой употребляется для испытания электронных транзакций.

После пуска приложения Bradesco банкер считывает информацию об аккаунте жертвы так словно старается механично поместиться в него, вводя приобретенный от управляющего сервера PIN-код. Android.BankBot.495.origin копирует заданные о сумме на счете юзера так словно сообща с приобретенными прежде сведениями об учетной записи передает их киберпреступникам.

Получив команду на пуск приложения для работы с СМС, банкер раскрывает его, считывает так словно предохраняет текст доступных извещений так словно посылает их на сервер. При конкретно в данном он выделяет СМС, поступившие от банка CaixaBank, S.A., так словно передает их отдельным запросом.

Кроме того, создатели Android.BankBot.495.origin применяют банкера для проведения фишинг-атак. Троянец выслеживает пуск программ Itaucard Controle seu carto, Banco do Brasil, Banco Ita, CAIXA, Bradesco, Uber, Netflix так словно Twitter. в случае в случае коли банкер обнаруживает, словно одно из их зачин работу, он отражает поверх него окно с жульнической веб-страницей, которая загружается со второго управляющего сервера. данная вебстраница имитирует наружный обличье атакуемого приложения. На ней у юзера помножать иметься запрошена оповещение об учетной записи, номере банковского счета, познания о банковской карте, логины, пароли так словно альтернативные тайные данные.

Пример подобных фишинговых страниц показан на изображениях ниже:

screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb scr  НОВОЕ НА САЙТЕ <p><p><b>15 января 2019 года</b></p>
<p><b><newslead>Компания «Доктор Веб» уведомляет юзеров о том, чисто торговое помещение приложений гугл Play предоставил вероятность получать бессрочную разрешение на Dr.Web Security Space для Android в рамках «<nofollow><noindex><a href=Семейной библиотеки». Эт... Антивирус Dr.Web

15 января 2019 года

Компания «Доктор Веб» заявляет о окончании технической помощи продуктов Dr.Web версии 6.0. эта версия, инноваторская для собственного времени, за эти возраст сполна устарела.

Сроки завершения поддержки:

  • Dr.Web Mail Security Suite 6.0 – 31 декабря 2019 года.
  • Все другие провиант Dr.Web 6.0 – 30 июня 2019 год... Антивирус Dr.Web

    28 декабря 2018 года

    Уходящий год был отмечен широким распространением троянцев-майнеров, предназначенных для добычи криптовалют без ведома пользователей. Подобные вредоносные программы угрожали не только пользователям Microsoft Windows, но также владельцам различных устройств, работающих под управлением ОС семейства Linux. Не утратили своих позиций и энкодеры, шифрую... Вирусные новости

    28 декабря 2018 года

    В уходящем году обладателям мобильных устройств под управлением ОС Android ещё грозило огромное численность вредных так будто ненужных программ, многие из коих распространялись сквозь официальный каталог приложений гугл Play. При данном видать увеличилась начавшаяся в 2017 году желание применения самых разных приемов маскировки так будто сокрытия... Вирусные новости

    28 декабря 2018 года

    В начале декабря бразильских юзеров Android-устройств штурмовал банковский троянец, распространявшийся сквозь гугл Play. помимо того, в направление месяца в конкретно в данном официальном каталоге ПО для Android были обнаружены иные вредные приложения. В конце декабря эксперты «Доктор Веб» заприметили новенькую версию коммерческой шпионской програ... Вирусные новости