Методы обнаружения вирусов

19 июля 2017 года

Вирусные аналитики корпорации «Доктор Веб» изучали функционального банковского троянца Android.BankBot.211.origin, какой вынуждает юзеров дать ему же доступ к особым способностям (Accessibility Service). С их поддержкой вредная программа заведует мобильными устройствами например что ворует секретную информацию покупателей кредитно-финансовых организаций. В самом начале надзора троянец штурмовал всего обитателей Турции, впрочем скоро перечень его намерений расширился, например что сейчас он грозит юзерам 10-ов стран.

Android.BankBot.211.origin распространяется под общим видом безвредных приложений, например, плеера Adobe Flash Player. попозже такого ровно юзер устанавливает например что запускает троянца, банкер пробует приобрести доступ к особым способностям (Accessibility Service). Для этого Android.BankBot.211.origin указывает окно с запросом, которое при каждом его закрытии возникает еще например что закончить отдает функционировать с устройством.

#drweb #drweb

Режим особых полномочий облегчает работу с Android-смартфонами например что планшетами например что используется в книжка числе для поддержке юзерам с консервативными возможностями. Он дозволяет программам независимо придавливать на разнообразные составляющие интерфейса, подобные ровно кнопочки в диалоговых окнах например что системных меню. Вынудив юзера дать троянцу эти полномочия, Android.BankBot.211.origin с их поддержкой независимо добавляется в перечень админов устройства, устанавливает себя менеджером извещений по умолчанию например что приобретает доступ к функциям захвата изображения с экрана. шабаш эти деяния сопровождаются показом системных запросов, коие можно совсем закончить заметить, т. к. вредная программа моментально доказывает их. коли же хозяин устройства в предстоящем пробует выключить какую нибудь из приобретенных Android.BankBot.211.origin функций, банкер закончить дозволяет это предпринять например что возвращает юзера в предыдущие системные меню.

После удачного инфецирования троянец подключается к управляющему серверу, индексирует на нем мобильное приспособление например что ждет последующих команд. Android.BankBot.211.origin в силах делать надлежащие действия:

  • отправлять СМС с данным текстом на указанный в команде номер;
  • передавать на сервер знания об СМС, коие хранятся в памяти устройства;
  • загружать на сервер информацию об поставленных приложениях, перечень контактов например что знания о телефонных вызовах;
  • открывать заданную в команде ссылку;
  • изменять адресок командного центра.

Кроме того, вредная программа выслеживает шабаш входящие СМС например что еще передает их киберпреступникам.

Помимо нормальных команд, преступники имеют конец шансы отправлять троянцу особые директивы. В их в зашифрованном образе содержится оповещение о приложениях, коие банкеру нужно атаковать. При получении подобных команд Android.BankBot.211.origin может:

  • показывать фальшивые формы ввода логина например что пароля поверх запускаемых банковских программ;
  • отображать фишинговое окно опций платежного обслуживания с запросом ввода инфы о банковской карте (например, при работе с программой гугл Play);
  • блокировать работу антивирусов например что остальных приложений, коие имеют конец шансы воспрепятствовать троянцу.

Android.BankBot.211.origin возможно штурмовать юзеров любых приложений. Киберпреступникам довольно всего подновить конфигурационный файл со перечнем мотивированных программ, какой банкер приобретает при соединении с управляющим сервером. Например, в начале надзора за троянцем вирусописателей заинтересовывали всего покупатели кредитных организаций Турции, впрочем потом к ним добавились обитатели остальных стран, посреди коих Германия, Австралия, Польша, Франция, великобритания например что США. На час публикации этого материала в перечне атакуемых троянцем программ содержится больше 50 приложений, специализированных для работы с платежными системами например что ДБО, а уж уж еще альтернативное ПО.

Ниже представлены примеры жульнических окон, коие возможно являться Android.BankBot.211.origin:

#drweb #drweb #drweb
#drweb #drweb #drweb

Троянец еще коллекционирует информацию обо любых запускаемых приложениях например что действиях, коие юзер в их выполняет. Например, он выслеживает доступные текстовые поля, подобные ровно составляющие меню, а уж уж еще укрепляет нажатия на кнопочки например что альтернативные ингридиенты пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin в силах тащить логины, пароли например что другую аутентификационную информацию, коию юзер внедряет в любых программах например что на любых веб-сайтах при авторизации. Для кражи паролей троянец изготавливает скриншот при каждом нажатии клавиатуры, в итоге чего он приобретает важную последовательность знаков перед началом того, ровно они будут скрыты. попозже этого информация, которая указывается в зримых полях, например что шабаш сохраненные скриншоты передаются на управляющий сервер.

#drweb

Так ровно Android.BankBot.211.origin мешает личному удалению, для борьбы с ним нужно осуществить надлежащие действия:

  • загрузить зараженный смартфон либо планшет в неопасном режиме;
  • зайти в системные опции например что переметнуться к перечню админов устройства;
  • найти троянца в данном перечне например что отозвать у него соответственные права (при данном вредная программа попробует устрашить хозяина устройства, предупредив о неминуемой потере любых немаловажных данных, впрочем это всего уловка, например что никакой угрозы для файлов нет);
  • перезагрузить устройство, осуществить его абсолютное сканирование антивирусом например что отослать троянца попозже завершения проверки.

Все распространенные трансформации Android.BankBot.211.origin детектируются антивирусом Dr.Web, отчего для наших юзеров данный банкер угрозы закончить представляет.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web