Методы обнаружения вирусов

20 марта 2018 года

Компания «Доктор Веб» обнаружила троянца Android.BankBot.149.origin опять-таки в январе 2016 года. засим такого сколько преступники выпустили отправной код этого банкера, вирусописатели сотворили на его базе большое колличество новеньких модификаций, кои интенсивно развиваются так ровно по сей день. кое-какие из них перевоплотился в функциональные вредные программы, могущие тащить логины так ровно пароли от приложений для работы с криптовалютами, а уж уж уж уж уж опять-таки доглядывать за пользователями.

На миг личного возникновения Android.BankBot.149.origin был банковским троянцем с обычным набором функций. Он демонстрировал фишинговые окна, с поддержкой коих воровал логины так ровно пароли от учетных записей систем онлайн-банкинга разных кредитных организаций, похищал информацию о банковских картах, а уж уж уж уж уж опять-таки мог перехватывать входящие СМС, дабы приобрести доступ к разовым паролям для доказательства валютных переводов. кой-когда отправной код этого вредного приложения предстал доступен всем желающим, вирусописатели начали образовывать на его базе большое колличество подобных троянцев. При конкретно в данном преступники интенсивно распространяли них чрез каталог гугл Play. между подобных банкеров были Android.BankBot.179.origin, Android.BankBot.160.origin, Android.BankBot.163.origin, Android.BankBot.193.origin так ровно Android.Banker.202.origin, коих вирусописатели маскировали под безопасные так ровно полезные приложения.

Еще равный троянец, при создании коего киберпреступники пользовались размещенный раньше код, был добавлен в вирусную основу Dr.Web сколько Android.BankBot.250.origin. Он опять-таки знаменит под именованием Anubis. Вирусные аналитики «Доктор Веб» нашли 1-ые версии этой вредной программы в ноябре 2017 года. Указанные трансформации троянца буквально в полной мере копировали способности Android.BankBot.149.origin. Банкер мог скорпулезно надлежащие действия:

  • отправлять СМС с данным текстом на указанный в команде номер;
  • выполнять USSD-запросы;
  • отсылать на управляющий сервер клоны хранящихся на устройстве СМС;
  • получать информацию об поставленных приложениях;
  • показывать диалоговые окна с данным в команде текстом;
  • запрашивать добавочные разрешения для работы;
  • демонстрировать push-уведомления, содержимое коих указывалось в команде;
  • показывать push-уведомление, содержимое коего задано в коде троянца;
  • блокировать дисплей устройства окном WebView, в котором демонстрировалось содержимое приобретенной от сервера веб-страницы;
  • передавать на сервер кончено отель из телефонной книги;
  • рассылать СМС по всем номерам из телефонной книги;
  • получать доступ к инфы об устройстве так ровно его местоположению;
  • запрашивать доступ к функциям особых полномочий (Accessibility Service);
  • узнавать айпишник зараженного смартфона либо же же планшета;
  • очищать личный конфигурационный файл так ровно останавливать личную работу.

На иллюстрациях дальше показан образчик панели управления одной из первых версий троянца Android.BankBot.250.origin:

screenshot Android.BankBot.250.origin #drweb

screenshot Android.BankBot.250.origin #drweb

Однако по мере выпуска обновлений Android.BankBot.250.origin его функционал равномерно расширялся. В одной из новеньких трансформаций троянца, получившей имя Android.BankBot.325.origin, возникла вероятность дистанционного доступа к зараженным устройствам. В итоге банкер мог делать сколько утилита удаленного администрирования либо же же RAT (Remote Andinistration Tool). Одной из его новеньких функций предстал просмотр перечня файлов, кои хранились в памяти зараженных смартфонов либо же же планшетов, загрузка всякого из них на управляющий сервер, а уж уж уж уж уж опять-таки них удаление. кроме того, троянец мог выслеживать все, ровно происходило на экране, делая скриншоты так ровно посылая них злоумышленникам. кроме этого по команде вирусописателей Android.BankBot.325.origin слушал среда при поддержки вмонтированного в конструкция микрофона. потому он мог использоваться так ровно для кибершпионажа. На надлежащих изображениях показан область панели администрирования управляющего сервера троянца, где-нибудь преступники могли продать троянцу соответственную команду:

screenshot Android.BankBot.325.origin #drweb

screenshot Android.BankBot.325.origin #drweb

При конкретно в данном разбор банкера показал, ровно вирусописатели пользуются в заглавиях методов, а уж уж уж уж уж опять-таки в командах управления аббревиатуру «VNC», которая расшифровывается сколько Virtual Network Computing так ровно можно отнести к системе удаленного доступа к рабочему столу. для тех закончить делать наименее в троянце Android.BankBot.325.origin она никоим образом закончить делать реализована, так ровно преступники всего пользуются ее прозвание для личного удобства. для тех закончить делать менее, можно наладить вывод, ровно киберпреступники начали разрабатывать вероятность удаленного управления дисплеем зараженных механизмов так ровно превращать банкера в больше всепригодное вредное приложение. дальше показан отрывок кода Android.BankBot.325.origin, где-нибудь применяется указанная аббревиатура:

screenshot Android.BankBot.325.origin #drweb

Одна из крайних трансформаций Android.BankBot.325.origin, коию обследовали вирусные аналитики «Доктор Веб», приобрела опять-таки больше функций. В перечень полномочий банкера ныне входят:

  • отправка СМС с данным текстом на указанный в команде номер;
  • выполнение USSD-запросов;
  • запуск программ;
  • смена адреса управляющего сервера;
  • отправка на управляющий сервер копий хранящихся на устройстве СМС;
  • получение инфы об поставленных приложениях;
  • перехват вводимых на клавиатуре знаков (кейлоггер);
  • запрос добавочных разрешений для работы;
  • показ диалоговых окон с данным в команде содержимым;
  • показ push-уведомлений, содержимое коих указывается в команде;
  • показ push-уведомления, содержимое коего задано в коде троянца;
  • отправка на сервер любых номеров из телефонной книги;
  • рассылка СМС по всем номерам из телефонной книги;
  • блокировка экрана устройства окном WebView, в котором показывается содержимое приобретенной от сервера веб-страницы;
  • запрос доступа к функциям особых полномочий (Accessibility Service);
  • переадресация телефонных звонков;
  • открытие в браузере данных в командах веб-сайтов;
  • открытие ссылок на интернет-страницы с пользованием WebView;
  • шифрование файлов так ровно заявка выкупа;
  • расшифровка файлов;
  • запись окружения с пользованием микрофона устройства;
  • получение доступа к инфы об устройстве так ровно его местоположении;
  • получение айпишника устройства;
  • очистка конфигурационного файла так ровно остановка работы троянца.

На надлежащих иллюстрациях продемонстрирован перечень команд, кои преступники имеют баста шансы отправлять банкеру чрез тротуар администрирования:

screenshot Android.BankBot.325.origin #drweb

screenshot Android.BankBot.325.origin #drweb

Большинство команд, передаваемых банкеру, настраиваются в этой же панели. Например, на изображении дальше показана фигура характеристик шифрования файлов. Вирусописатели имеют баста шансы задать отправляться шифрования, сумму выкупа (например, в биткойнах), коию Android.BankBot.325.origin запросит у жертвы, а уж уж уж уж уж опять-таки личный номер кошелька для перевода:

screenshot Android.BankBot.325.origin #drweb

Там же настраиваются фальшивые уведомления, кои обязаны принудить юзера забыть надобное киберпреступникам приложение. безотлагательно засим старта мотивированной программы троянец выказывает поверх ее окна фишинговую форму ввода логина, пароля так ровно иной тайной инфы так ровно передает ее вирусописателям.

screenshot Android.BankBot.325.origin #drweb

Аналогичным образом настраиваются так ровно сами фишинговые окна совместно с доборными параметрами:

screenshot Android.BankBot.325.origin #drweb

Android.BankBot.325.origin выказывает фальшивые формы авторизации при запуске свыше 160 программ, между коих – ПО для доступа к банковским услугам, платежным системам так ровно общественным сетям. При конкретно в данном к ним добавились так ровно популярные приложения для работы с криптовалютами. Android.BankBot.325.origin – закончить делать стержневой банкер, какой-нибудь пробует своровать логины так ровно пароли от подобных программ, для тех закончить делать наименее впору в нем преступники попробовали наладить наружный общий вид фишинговых окон наиболее подобным на интерфейс реальных приложений. Примеры подобных жульнических форм авторизации показаны на надлежащих изображениях:

screenshot Android.BankBot.325.origin #drweb screenshot Android.BankBot.325.origin #drweb screenshot Android.BankBot.325.origin #drweb screenshot Android.BankBot.325.origin #drweb

Вирусные аналитики установили, ровно троянец штурмует юзеров из России, Украины, Турции, Англии, Германии, Франции, Индии, США, Гонконга, Венгрии, Израиля, Японии, новейшей Зеландии, Кении, Польши так ровно Румынии. для тех закончить делать наименее в хоть какое пора данный перечень возможно пополниться так ровно иными государствами, в случае если киберпреступники изъявят к ним интерес.

Специалисты фирмы «Доктор Веб» ожидают, ровно создатели Android.BankBot.325.origin продолжат улучшать функционал троянца так ровно будут добавлять в него новейшие способности удаленного управления зараженными смартфонами так ровно планшетами. закончить делать исключено, ровно в троянце явятся добавочные шпионские функции. Антивирусные продовольствие Dr.Web для Android удачно детектируют кончено популярные трансформации этого вредного приложения, потому для наших юзеров оно угрозы закончить делать представляет.

Подробнее о троянце

#Android #банковский_троянец #биткойн