Вирусные аналитики фирмы «Доктор Веб» выявили в каталоге гугл Play троянца , какой грозил покупателям бразильских кредитных организаций. данный банкер применяет особые способности (Accessibility Service) платформы Android. С их поддержкой он возможно независимо ворочать зараженными мобильными устройствами так ровно воровать тайные заданные их владельцев.
Киберпреступники распространяли под обликом приложений, якобы позволяющих созерцать за юзерами Android-смартфонов так ровно планшетов. Троянец скрывался в программах с наименованиями WLocaliza Ache J, WhatsWhere Ache J так ровно WhatsLocal Ache J. позже воззвания знатоков «Доктор Веб» в корпорацию гугл та оперативно удалила их из гугл Play. Банкера успели нагрузить свыше 2000 пользователей.
При запуске старается обрести доступ к функциям особых способностей (Accessibility) ОС Android, раскрывая меню системных опций так ровно предлагая юзеру активировать сообразный параметр. в случае в случае коли возможная жертва согласится дать троянцу запрошенные полномочия, сумеет неприметно ворочать программами, независимо жать на кнопочки так ровно воровать содержимое функциональных окон приложений.
Когда юзер отдает банкеру лицензию на работу с функциями особых возможностей, тот закрывает свое окно, запускает вредный обслуживание так ровно с его поддержкой продолжает влиять в сокрытом режиме. засим чего запрашивает доступ к показу экранных форм поверх запущенных программ. данная функция в предстоящем нужна троянцу для демонстрации фишинговых окон. Благодаря приобретенному раньше разрешению применять особые способности машинально надавливает на абсолютно все кнопочки с текстом «PERMITIR» («Разрешить»), кои возникают при запросе полномочий. В результате, в случае в случае коли языком системы появляется португальский, банкер независимо гарантирует для себя востребованные привилегии.
Кроме того, вредное приложение применяет опции особых способностей так ровно для самозащиты, отслеживая работу ряда антивирусов так ровно самых разных утилит. При их запуске он старается прихлопнуть их окна, 4 раза попорядку нажимая клавишу «Назад».
соединяется с удаленным узлом для приема начальных опций так ровно в невидимом окне WebView перебегает по данной вирусописателями ссылке. В итоге нескольких перенаправлений на загруженном медиа-сайте троянец приобретает конечную ссылку, в коей зашифрованы айпишника 2-ух управляющих серверов. засим подключается к единому из их так ровно воспринимает перечень с именами приложений. Троянец проверяет, какие из их поставлены на устройстве, так ровно уведомляет об данном сервер. засим чего банкер попеременно посылает капельку особым образом сформированных запросов. В зависимости от опций сервера в отзыв приобретает команду на старт той либо другой программы. На пора анализа он мог лукать ПО кредитных организаций Banco Ita S.A. так ровно Banco Bradesco S.A., а уж а также установленное по умолчанию приложение для работы с СМС.
При запуске программы Banco Ita троянец с применением опции особых способностей считывает содержимое ее окна так ровно передает злодеям информацию о балансе банковского счета пользователя. засим чего он независимо делает навигацию снутри приложения так ровно перебегает в ответвление управления учетной записью. далее троянец копирует так ровно посылает вирусописателям родник iToken – код безопасности, какой применяется для испытания электронных транзакций.
После пуска приложения Bradesco банкер считывает информацию об аккаунте жертвы так ровно старается машинально убраться в него, вводя приобретенный от управляющего сервера PIN-код. копирует заданные о сумме на счете юзера так ровно совместно с приобретенными раньше сведениями об учетной записи передает их киберпреступникам.
Получив команду на пуск приложения для работы с СМС, банкер раскрывает его, считывает так ровно предохраняет текст доступных извещений так ровно посылает их на сервер. При данном он выделяет СМС, поступившие от банка CaixaBank, S.A., так ровно передает их отдельным запросом.
Кроме того, создатели применяют банкера для проведения фишинг-атак. Троянец выслеживает пуск программ Itaucard Controle seu carto, Banco do Brasil, Banco Ita, CAIXA, Bradesco, Uber, Netflix так ровно Twitter. в случае в случае коли банкер обнаруживает, ровно одно из их начин работу, он отражает поверх него окно с жульнической веб-страницей, которая загружается со второго управляющего сервера. данная вебстраница имитирует наружный общий вид атакуемого приложения. На ней у юзера возможно водиться запрошена уведомление об учетной записи, номере банковского счета, знания о банковской карте, логины, пароли так ровно остальные тайные данные.
Пример подобных фишинговых страниц показан на изображениях ниже:
1 апреля 2024 года
Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости