Методы обнаружения вирусов

19 июля 2017 года

Вирусные аналитики фирмы «Доктор Веб» изучали функционального банковского троянца Android.BankBot.211.origin, который-нибудь вынуждает юзеров дать ему же доступ к особым способностям (Accessibility Service). С их поддержкой вредная программа заведует мобильными устройствами эдак что ворует секретную информацию покупателей кредитно-финансовых организаций. В самом начале надзора троянец штурмовал чуть-только обитателей Турции, впрочем скоро перечень его намерений расширился, эдак что сейчас он грозится юзерам 10-ов стран.

Android.BankBot.211.origin распространяется под пейзажем безвредных приложений, например, плеера Adobe Flash Player. потом такого как-нибудь юзер устанавливает эдак что запускает троянца, банкер пробует принять доступ к особым способностям (Accessibility Service). Для этого Android.BankBot.211.origin отображает окно с запросом, которое при каждом его закрытии возникает снова эдак что перестать отдает трудиться с устройством.

#drweb #drweb

Режим особых полномочий облегчает работу с Android-смартфонами эдак что планшетами эдак что используется в фолиант числе для поддержке юзерам с консервативными возможностями. Он дозволяет программам автономно наседать на разнообразные составляющие интерфейса, подобные как-нибудь клавиши в диалоговых окнах эдак что системных меню. Вынудив юзера дать троянцу эти полномочия, Android.BankBot.211.origin с их поддержкой автономно добавляется в перечень админов устройства, устанавливает себя менеджером извещений по умолчанию эдак что приобретает доступ к функциям захвата изображения с экрана. конец эти деяния сопровождаются показом системных запросов, коие можно решительно перестать заметить, т. к. вредная программа сразу доказывает их. в случае если же хозяин устройства в предстоящем пробует выключить какую нибудь из приобретенных Android.BankBot.211.origin функций, банкер перестать дозволяет это произвести эдак что возвращает юзера в предыдущие системные меню.

После удачного инфецирования троянец подключается к управляющему серверу, индексирует на нем мобильное конструкция эдак что ждет последующих команд. Android.BankBot.211.origin в силах исполнять надлежащие действия:

  • отправлять СМС с данным текстом на указанный в команде номер;
  • передавать на сервер знания об СМС, коие хранятся в памяти устройства;
  • загружать на сервер информацию об поставленных приложениях, перечень контактов эдак что знания о телефонных вызовах;
  • открывать заданную в команде ссылку;
  • изменять адресок командного центра.

Кроме того, вредная программа выслеживает конец входящие СМС эдак что а уж уж тоже передает их киберпреступникам.

Помимо нормальных команд, преступники имеют абсолютно конец шансы отправлять троянцу особые директивы. В их в зашифрованном пейзаже содержится уведомление о приложениях, коие банкеру нужно атаковать. При получении подобных команд Android.BankBot.211.origin может:

  • показывать фальшивые формы ввода логина эдак что пароля поверх запускаемых банковских программ;
  • отображать фишинговое окно опций платежного обслуживания с запросом ввода инфы о банковской карте (например, при работе с программой гугл Play);
  • блокировать работу антивирусов эдак что прочих приложений, коие имеют абсолютно конец шансы воспрепятствовать троянцу.

Android.BankBot.211.origin возможно штурмовать юзеров любых приложений. Киберпреступникам довольно всего подновить конфигурационный файл со перечнем мотивированных программ, который-нибудь банкер приобретает при соединении с управляющим сервером. Например, в начале надзора за троянцем вирусописателей заинтересовывали чуть-только покупатели кредитных организаций Турции, впрочем потом к ним добавились обитатели прочих стран, посреди коих Германия, Австралия, Польша, Франция, великобритания эдак что США. На минута публикации этого материала в перечне атакуемых троянцем программ содержится не делать менее 50 приложений, специализированных для работы с платежными системами эдак что ДБО, а уж уж а уж тоже альтернативное ПО.

Ниже представлены примеры жульнических окон, коие возможно выказывать Android.BankBot.211.origin:

#drweb #drweb #drweb
#drweb #drweb #drweb

Троянец а уж уж тоже коллекционирует информацию обо любых запускаемых приложениях эдак что действиях, коие юзер в их выполняет. Например, он выслеживает доступные текстовые поля, подобные как-нибудь составляющие меню, а уж уж а уж тоже укрепляет нажатия на клавиши эдак что остальные составляющие пользовательского интерфейса.

Кроме того, Android.BankBot.211.origin в силах таскать логины, пароли эдак что другую аутентификационную информацию, коию юзер внедряет в любых программах эдак что на любых веб-сайтах при авторизации. Для кражи паролей троянец готовит скриншот при каждом нажатии клавиатуры, в итоге чего он приобретает важную последовательность знаков перед началом того, как-нибудь они будут скрыты. потом этого информация, которая указывается в зримых полях, эдак что конец сохраненные скриншоты передаются на управляющий сервер.

#drweb

Так как-нибудь Android.BankBot.211.origin мешает личному удалению, для борьбы с ним нужно реализовать надлежащие действия:

  • загрузить зараженный смартфон либо планшет в неопасном режиме;
  • зайти в системные опции эдак что перескочить к перечню админов устройства;
  • найти троянца в данном перечне эдак что отозвать у него надлежащие права (при данном вредная программа попробует перепугать хозяина устройства, предупредив о неминуемой потере любых необходимых данных, впрочем это всего уловка, эдак что никакой угрозе для файлов нет);
  • перезагрузить устройство, реализовать его абсолютное сканирование антивирусом эдак что отослать троянца потом завершения проверки.

Все распространенные гибриды Android.BankBot.211.origin детектируются антивирусом Dr.Web, отчего для наших юзеров данный банкер угрозе перестать представляет.

Подробнее о троянце

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web