Компания «Доктор Веб» информирует о возникновении новенького банковского троянца, атакующего южнокорейских юзеров Android. заданная вредная программа, внесенная в вирусную основу Dr.Web под именованием Android.BankBot.35.origin, воображает дьявольски ответственную угрозу: она старается сменить реальные приложения своего рода «банк-клиент» них фальшивыми копиями, способна по команде злоумышленников отправлять приблизительно ровно перекрыть СМС-сообщения, бондить секретную информацию, а уж уж уж тоже загружать добавочные модули, расширяющие ее функционал.
Android.BankBot.35.origin распространяется злодеями в составе супротивный вредной программы, внесенной в вирусную основу ровно только Android.MulDrop.46.origin. данный троянец воображает собой дроппера приблизительно ровно помножать пребывать загружен юзерами под обликом всевозможных приложений. В форменный миг специалистам фирмы «Доктор Веб» знамениты случаи, часом Android.MulDrop.46.origin выдается киберпреступниками за мировой веб-браузер, впрочем выбор вида для маскировки этой вредной программы ограничивается только фантазией вирусописателей.
После такого ровно только дроппер установлен на Android-смартфон или же планшет, он помножать пребывать инициализирован ровно только самим хозяином мобильного устройства (при нажатии на рожденный троянцем ярлык), приблизительно приблизительно ровно автоматично – при сызнова одной разблокировке экрана или же загрузке операционной системы. в случае коли Android.MulDrop.46.origin был запущен пользователем, вредная программа запрашивает у него доступ к функциям админа мобильного устройства, засим чего удаляет свойский ярлык. В предстоящем троянец работает в качестве системного обслуживания приблизительно ровно останавливается «невидимым» для хозяина мобильного устройства.
Вслед за успешной инициализацией дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл троянца Android.BankBot.35.origin, кой внуки загружается в оперативную память при поддержки класса DexClassLoader, позволяющего Android-приложениям (в заданном случае – дропперу Android.MulDrop.46.origin) без участия юзера приблизительно ровно подготовительной инсталляции шибать добавочные программные модули. приобретя управление, Android.BankBot.35.origin перебегает в ждущий строй приблизительно ровно регулярно испытывает присутствие на инфицированном устройстве ряда приложений своего рода «банк-клиент», принадлежащих нескольким южнокорейским кредитным организациям. в случае коли одна из этих программ обнаруживается, троянец загружает с удаленного узла надлежащее ей же приложение-имитацию, засим чего старается определить его заместо оригинала. Для этого Android.BankBot.35.origin показывает на экране зараженного устройства известие с призывом исполнить инсталляцию якобы новейшей версии банковского клиента. в случае коли юзер согласится на инсталляцию этого «обновления», троянец инициализирует типовой системный процесс удаления истинного приложения, засим чего приступит к инсталляции подделки.
Каждое из загружаемых Android.BankBot.35.origin фальшивых банковских приложений воображает собой закончить ровно иное, ровно только трансформацию троянца Android.Banker.46.origin. заданная вредная программа дозволяет киберпреступникам принять доступ к управлению банковскими счетами южнокорейских пользователей, ровно помножать вогнать к незапланированным финансовым операциям приблизительно ровно в книжка числе потере любых них валютных средств. для того, дабы украсть всю важную секретную информацию, Android.Banker.46.origin имитирует интерфейс реальных приложений своего рода «банк-клиент» приблизительно ровно запрашивает у своих жертв ввод подобных заданных ровно только логин приблизительно ровно пароль от учетной записи онлайн-банкинга, номер счета приблизительно ровно банковской карты, знания об применяемом цифровом сертификате, обеспечивающим безвредные транзакции, а уж уж уж тоже иные тайные сведения.
Пример имитации банковского приложения, реализуемой троянцем Android.Banker.46.origin
Наряду с подменой реальных приложений системы «банк-клиент» них троянскими копиями Android.BankBot.35.origin в силах тоже исполнять приблизительно ровно иные ненужные для юзеров действия. В частности, по команде с управляющего сервера вредная программа может:
отправить СМС-сообщение с данным текстом на указанный номер;
включить или же исключить передатчик Wi-Fi;
загрузить на сервер заданные из телефонной книжки (в книжка числе сохраненные на SIM-карте телефонные номера);
загрузить с удаленного узла приблизительно ровно забыть данный злодеями dex-файл.
Для пуска загруженного dex-файла троянец использует соответственный функционал дроппера Android.MulDrop.46.origin, применяемый для инициализации самого Android.BankBot.35.origin. подобным образом, заданная вредная программа продает модульную архитектуру и, в зависимости от потребностей основавших ее вирусописателей, способна намного расширить свои возможности.
Помимо кражи сведений о контактах пользователя, в процессе собственной работы троянец тоже помножать передать на управляющий сервер приблизительно ровно другую секретную информацию, например, номер мобильника жертвы, звание модели инфицированного мобильного устройства, знания о версии операционной системы, типе применяемой мобильной приблизительно ровно Wi-Fi-сети приблизительно ровно кое-какие иные данные. перестать делать считая того, Android.BankBot.35.origin в силах перехватывать приблизительно ровно вывозить СМС-сообщения, поступающие с конкретных номеров, сообщение о коих хранятся в черном перечне троянца.
Примечательно, ровно заданная вредная программа владеет дьявольски увлекательным механизмом самозащиты. Так, в случае коли троянец укрепляет на зараженном смартфоне или же планшете пуск известного южнокорейского антивируса, Android.BankBot.35.origin перекрывает его инициализацию приблизительно ровно возвращает юзера к первостепенному экрану операционной системы. подобная блокировка распространяется приблизительно ровно на типовой системный менеджер приложений, а уж уж уж тоже функцию управления админами устройства, поэтому, в случае коли оборона троянца активирована, юзеры зараженных смартфонов приблизительно ровно планшетов практически лишаются полномочия заведовать всеми установленными программами. вкупе с тем, сходный хаки приспособление закончить срабатывает, в случае коли в системе точка сызнова наличествует хотя бы раз из уникальных банковских клиентов, кои вредная программа закончить успела заменить, или в случае коли троянец закончить приобрел доступ к функциям админа мобильного устройства.
Чтобы закончить сковаться жертвой вредных программ, хозяева мобильных Android-устройств обязаны игнорировать инсталляции приложений, приобретенных закончить из каталога гугл Play. перестать делать считая того, им же рекомендуется определить надежное защитное ПО. Антивирус Dr.Web для Android приблизительно ровно Антивирус Dr.Web для Android Light счастливо обнаруживают приблизительно ровно нейтрализуют обрисованных троянцев, отчего для юзеров заданных продуктов они закончить воображают опасности.
Защитите ваше Android-устройство с поддержкой Dr.Web
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web
1 апреля 2024 года
Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Вирусные новости
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости
