Методы обнаружения вирусов

5 апреля 2018 лета

Вирусные аналитики фирме «Доктор Веб» закрепили распространение троянца Android.BankBot.358.origin, какой-нибудь ориентирован на покупателей Сбербанка. данная вредная программа ворует информацию о банковских картах, выводит денежки со счетов, а уж уж уж уж еще перекрывает зараженные устройства эдак точно требует выкуп. Ущерб, какой-нибудь возможно надуть Android.BankBot.358.origin, превосходит 78 000 000 рублей.

Android.BankBot.358.origin знаменит фирме «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, точно новейшие трансформации троянца Android.BankBot.358.origin предусмотрены для атаки на русских покупателей Сбербанка эдак точно заразили уже закончить наименее 60 000 мобильных устройств. Однако, эдак ровно вирусописатели распространяют вагон всевозможных версий этого вредного приложения, количество пострадавших возможно гораздо увеличиться. Суммарный объем средств, кои преступники способны стащить с банковских счетов хозяев зараженных устройств, превосходит 78 000 000 рублей. помимо того, киберпреступники имеют кончено шансы сбондить закончить наименее 2 700 000 рублей со счетов мобильных телефонов.

На последующих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах эдак точно статистикой по одной из найденных бот-сетей:

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

Этот банковский троянец распространяется при поддержке жульнических СМС, кои имеют кончено шансы рассылать ровно киберпреступники, эдак примерно точно сама вредная программа. почаще прощай сообщения отправляются от имени юзеров сервиса Avito.ru. В подобных СМС возможной жертве предлагается перешагнуть по гиперссылке – якобы для того, дабы ознакомиться с ответом на объявление. Например, известен текст: «Добрый день, мена интересен?». помимо того, временами обладатели мобильных механизмов приобретают фальшивые извещения о кредитах, мобильных переводах эдак точно зачислениях денежек на счет в банке. далее показаны примеры фишинговых сообщений, кои задаются в панели администрирования управляющего сервера троянца эдак точно рассылаются по команде вирусописателей:

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

При переходе по гиперссылке из подобного сообщения жертва попадает на принадлежащий злодеям сайт, откуда на мобильное приспособление скачивается apk-файл вредного приложения. Для наибольшей убедительности вирусописатели применяют в Android.BankBot.358.origin значок истинной программы Avito, отчего возможность успешной инсталляции троянца затем его загрузки увеличивается. кое-какие трансформации банкера имеют кончено шансы распространяться под общим видом остальных программ – например, ПО для работы с платежными системами Visa эдак точно Western Union.

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам админа устройства эдак точно выполняет это перед началом тех пор, покудова юзер закончить согласится дать ему же же важные полномочия. затем получения полезных привилегий троянец выказывает неверное извещение об ошибке инсталляции эдак точно удаляет личный значок из перечня программ на основном экране. эдак Android.BankBot.358.origin старается утаить свое пребывание на смартфоне либо планшете. коли же в предстоящем юзер старается услать банкера из перечня администраторов, Android.BankBot.358.origin активирует функцию самозащиты эдак точно закрывает соответственное окно системных настроек. При данном кое-какие версии троянца добавочно ставят личный PIN-код разблокировки экрана.

screenshot Android.BankBot.358.origin #drweb

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, информирует ему же же об успешном инфецировании эдак точно ждет последующих указаний. ключевая мишень троянца – воровство денежек у русскоязычных покупателей Сбербанка, при данном главным вектором атаки появляется фишинг. преступники посылают троянцу команду на блокирование зараженного устройства окном с жульническим сообщением. Оно имитирует наружный общий вид системы дистанционного банковского сервиса Сбербанк Онлайн эдак точно отражается для каких бы то ни было юзеров вне зависимости от того, появляются ли они покупателями Сбербанка либо альтернативной кредитной организации. В данном сообщении говорится о якобы поступившем валютном переводе в размере 10 000 рублей. Для получения денежек обладателю смартфона либо планшета предлагается показать совершенную информацию о банковской карте: ее номер, имя держателя, дату завершения действия, а уж уж уж уж еще негласный код CVV. При данном без ввода требуемых заданных жульническое окно невозможно закрыть, эдак точно приспособление останется заблокированным. В итоге юзер принужден подтвердить «зачисление средств», затем чего оповещение о карте передается злоумышленникам, эдак точно они имеют кончено шансы свободно стащить кончено денежки с банковского счета жертвы.

Однако на минута публикации этого материала существующие трансформации троянца закончить делают совершенную испытание сведений о банковских картах, эдак точно затем ввода каких бы то ни было заданных фотографируют блокировку. В итоге пострадавшие от Android.BankBot.358.origin обладатели мобильных механизмов имеют кончено шансы отбояриться от фишингового окна эдак точно распорядиться антивирусом, для того, дабы услать вредоносную программу. Для этого в жульническую форму нужно взвести произвольный номер карты, какой-нибудь состоит из 16 либо 18 цифр, а уж уж уж уж еще показать произвольный срок ее воздействия в спектре от 2017 перед началом 2030 лета включительно. При данном ни в коем случае невозможно впрыскивать информацию о истинной карте Сбербанка либо альтернативной кредитной организации, т. к. преступники приобретут к ней абсолютный доступ.

Тем закончить менее, червь закончить препятствует вирусописателям спустить команду на повторную блокировку смартфона либо планшета затем обнаружения обмана. отчего затем подобного ровно фишинговое окно полноте закрыто, нужно ровно можно точнее испытать приспособление антивирусом эдак точно услать троянца с мобильного устройства: https://download.drweb.ru/android/

screenshot Android.BankBot.358.origin #drweb

Если у юзера подключена услуга маневренный банк, Android.BankBot.358.origin с ее поддержкой старается стащить денежки со счета жертвы. вредная программа неприметно посылает СМС с командами для исполнения операций в системе онлайн-банкинга. Троянец испытывает нынешний баланс карты юзера эдак точно механично переводит денежки либо на банковский счет злоумышленников, либо на счет них мобильного телефона. образчик того, ровно Android.BankBot.358.origin похищает денежки чрез обслуживание дистанционного банковского обслуживания, показан на надлежащей иллюстрации:

screenshot Android.BankBot.358.origin #drweb

Для получения добавочного дохода кое-какие версии Android.BankBot.358.origin имеют кончено шансы заблокировать зараженное приспособление сообщением с требованием оплаты штрафа за просмотр нелегальных видео. помимо того, для того, дабы утаить вредоносную энергичность (например, поступление подозрительных СМС), разные трансформации троянца способны еще перекрыть дисплей зараженного смартфона либо планшета извещением об аппарате некоего системного обновления.

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

Вирусописатели имеют кончено шансы ополчать характеристики окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, длительность них отображения, а уж уж уж уж еще требуемую сумму выкупа. далее представлены примеры соответственных разделов панели управления:

screenshot Android.BankBot.358.origin #drweb screenshot Android.BankBot.358.origin #drweb

Наряду с кражей денежек эдак точно блокировкой зараженных механизмов Android.BankBot.358.origin в силах делать эдак точно остальные вредные действия. приобретая команды от злоумышленников, троянец может:

  • загружать личные обновления;
  • рассылать СМС-сообщения по всем номерам из телефонной книги;
  • рассылать СМС-сообщения по указанным в командах номерам;
  • загружать данные киберпреступниками веб-сайты;
  • отправлять на сервер хранящиеся на устройстве СМС-сообщения;
  • получать информацию о контактах из телефонной книги;
  • создавать фальшивые входящие СМС-сообщения.

Антивирусные провиант Dr.Web для Android счастливо детектируют эдак точно удаляют кончено знакомую трансформации Android.BankBot.358.origin, отчего для наших юзеров троянец угрозе закончить представляет. эксперты «Доктор Веб» передали информацию о троянце в Сбербанк эдак точно продолжают созерцать за развитием ситуации.

Подробнее о троянце

#Android #банкер #мобильный #вымогательство #банковский_троянец