Методы обнаружения вирусов

6 декабря 2018 года

Вирусные аналитики фирме «Доктор Веб» выявили в каталоге гугл Play троянца Android.BankBot.495.origin, какой грозил покупателям бразильских кредитных организаций. данный банкер пользуется особые полномочия (Accessibility Service) платформы Android. С их поддержкой он помножать независимо ворочать зараженными мобильными устройствами так словно воровать тайные заданные их владельцев.

Киберпреступники распространяли Android.BankBot.495.origin под пейзажем приложений, якобы позволяющих наблюдать за юзерами Android-смартфонов так словно планшетов. Троянец скрывался в программах с наименованиями WLocaliza Ache J, WhatsWhere Ache J так словно WhatsLocal Ache J. опосля воззвания профессионалов «Доктор Веб» в корпорацию гугл та оперативно удалила их из гугл Play. Банкера успели навалить свыше 2000 пользователей.

screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb

При запуске Android.BankBot.495.origin старается приобрести доступ к функциям особых полномочиях (Accessibility) ОС Android, раскрывая меню системных опций так словно предлагая юзеру активировать сообразный параметр. в случае в случае коли вероятная жертва согласится дать троянцу запрошенные полномочия, Android.BankBot.495.origin сумеет неприметно ворочать программами, независимо жать на кнопочки так словно воровать содержимое функциональных окон приложений.

screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb

Когда юзер отдает банкеру позволение на работу с функциями особых возможностей, тот закрывает свое окно, запускает вредный обслуживание так словно с его поддержкой продолжает влиять в сокрытом режиме. дальше Android.BankBot.495.origin запрашивает доступ к показу экранных форм поверх запущенных программ. данная функция в предстоящем нужна троянцу для демонстрации фишинговых окон. Благодаря приобретенному прежде разрешению применять особые полномочия Android.BankBot.495.origin механично надавливает на абсолютно все кнопочки с текстом «PERMITIR» («Разрешить»), коие возникают при запросе полномочий. В результате, в случае в случае коли языком системы появляется португальский, банкер независимо гарантирует для себя необходимые привилегии.

Кроме того, вредное приложение пользуется опции особых полномочиях так словно для самозащиты, отслеживая работу ряда антивирусов так словно всевозможных утилит. При их запуске он старается притворить их окна, 4 раза попорядку нажимая кнопочку «Назад».

Android.BankBot.495.origin соединяется с удаленным узлом для приема начальных опций так словно в невидимом окне WebView перебегает по данной вирусописателями ссылке. В итоге нескольких перенаправлений на загруженном медиа-сайте троянец приобретает конечную ссылку, в коей зашифрованы айпишника 2-ух управляющих серверов. дальше Android.BankBot.495.origin подключается к единому из их так словно воспринимает снимок с именами приложений. Троянец проверяет, какие из их поставлены на устройстве, так словно уведомляет об конкретно в данном сервер. дальше банкер попеременно посылает чуток особым образом сформированных запросов. В зависимости от опций сервера в отзвук Android.BankBot.495.origin приобретает команду на старт той либо другой программы. На миг анализа он мог пускать ПО кредитных организаций Banco Ita S.A. так словно Banco Bradesco S.A., а уж еще установленное по умолчанию приложение для работы с СМС.

При запуске программы Banco Ita троянец с применением опции особых полномочиях считывает содержимое ее окна так словно передает злодеям информацию о балансе банковского счета пользователя. дальше он независимо делает навигацию снутри приложения так словно перебегает в ветвь управления учетной записью. впоследствии троянец копирует так словно посылает вирусописателям источник iToken – код безопасности, какой употребляется для испытания электронных транзакций.

После пуска приложения Bradesco банкер считывает информацию об аккаунте жертвы так словно старается механично поместиться в него, вводя приобретенный от управляющего сервера PIN-код. Android.BankBot.495.origin копирует заданные о сумме на счете юзера так словно сообща с приобретенными прежде сведениями об учетной записи передает их киберпреступникам.

Получив команду на пуск приложения для работы с СМС, банкер раскрывает его, считывает так словно предохраняет текст доступных извещений так словно посылает их на сервер. При конкретно в данном он выделяет СМС, поступившие от банка CaixaBank, S.A., так словно передает их отдельным запросом.

Кроме того, создатели Android.BankBot.495.origin применяют банкера для проведения фишинг-атак. Троянец выслеживает пуск программ Itaucard Controle seu carto, Banco do Brasil, Banco Ita, CAIXA, Bradesco, Uber, Netflix так словно Twitter. в случае в случае коли банкер обнаруживает, словно одно из их зачин работу, он отражает поверх него окно с жульнической веб-страницей, которая загружается со второго управляющего сервера. данная вебстраница имитирует наружный обличье атакуемого приложения. На ней у юзера помножать иметься запрошена оповещение об учетной записи, номере банковского счета, познания о банковской карте, логины, пароли так словно альтернативные тайные данные.

Пример подобных фишинговых страниц показан на изображениях ниже:

screen Android.BankBot.495.origin #drweb screen Android.BankBot.495.origin #drweb scr  НОВОЕ НА САЙТЕ <p><p><b>21 марта 2019 года</b></p>
<p><b><newslead>Компания «Доктор Веб» рассказывает о банковском троянце Flexnet, который-нибудь грозит юзерам Android-устройств. данная вредная программа ворует финансы закончить всего с банковских карт, тем закончить менее эдак ровно со счетов мобильных телефонов. С ее поддержкой преступники оплачивают онлайн-игры, услуги веб-хостинга эдак ровно иные сервисы.</new... <a title='«Доктор Веб»: Android-банкер Flexnet выводит деньг' href='../index.php?p=72&p2=7994'>Горячая лента угроз и предупреждений о вирусной опасности! </a></p><p><p><strong>21 марта 2019 года</strong></p>
<p><strong><newslead>«Доктор Веб» воображает Dr.Web vxCube 1.3 – намного улучшенную версию интерактивного анализатора подозрительных файлов. В данном обновлении был усовершенствован гипервизор, выпущена новейшая версия API, увеличена скорость анализа файлов, а уж а а тоже исправлены выявленные ошибки.</newslead></strong></p>

<p>Самые значительные конфигу... <a title='Встречайте Dr.Web vxCube 1.3!' href='../index.php?p=14&p2=7993'>Антивирус Dr.Web </a></p><p><p><b>21 марта 2019 года</b></p>
<p><b><newslead>Компания «Доктор Веб» рассказывает о банковском троянце Flexnet, какой-либо грозится юзерам Android-устройств. данная вредная программа ворует денежные средства закончить делать делать делать всего с банковских карт, впрочем таково ровно со счетов мобильных телефонов. С ее поддержкой преступники оплачивают онлайн-игры, услуги веб-хостинга таково ров... <a title='«Доктор Веб»: Android-банкер Flexnet выводит деньг' href='../index.php?p=33&p2=7992'>Вирусные новости </a></p><p><p><strong>20 марта 2019 года</strong></p>
<p><strong><newslead>Компания «Доктор Веб» информирует об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.5.7.201902131), плагина Outlook Plugin (12.0.2.201903050) так что управляющего обслуживания ES Service (11.5.16.03015) в составе Dr.Web Enterprise Security Suite версии 11.0. Обновление связано с исправлением выявленных ошибок так что вне... <a title='Обновление компонентов в Dr.Web Enterprise Securit' href='../index.php?p=14&p2=7991'>Антивирус Dr.Web </a></p><p><p><strong>14 марта 2019 лета </strong></p>
<p><strong><newslead>Компания «Доктор Веб» информирует об обновлении Dr.Web 11.1.4 для macOS. </newslead>Обновление связано с оптимизацией отражения извещений продукта.</strong></p>

<p>Теперь Dr.Web для macOS уведомляет исключительно об найденных угрозах, в то минута насколько извещения о блокировке доступа к веб-сайтам по категориям перестать менее пер... <a title='Обновление Dr.Web 11.1.4 для macOS' href='../index.php?p=14&p2=7990'>Антивирус Dr.Web </a></p>


</div>

<div class=