Мой Антивирус

21 июля 2021

Компания «Доктор Веб» предупреждает о появлении нового семейства банковских троянов для Android-устройств, получившего имя Android.BankBot.Coper. Вредоносные программы этого семейства обладают модульной архитектурой и многоступенчатым механизмом заражения, а также набором защитных приемов, помогающих им противостоять своему удалению. Все это позволяет троянам дольше оставаться работоспособными и проводить более успешные атаки. Известные на данный момент модификации банкеров нацелены на колумбийских пользователей, однако со временем возможно появление версий, которые будут атаковать пользователей из других стран.

Все обнаруженные образцы Android.BankBot.Coper, исследованные нашими вирусными аналитиками, распространялись под видом официального ПО кредитной организации Bancolombia приложения Bancolombia Personas. Для большей убедительности их значок был оформлен в том же стиле, что и у настоящих программ банка. Для сравнения, ниже приведен пример значка подделки (слева) и пример значков настоящих приложений Bancolombia (справа), доступных для загрузки в Google Play:

Сам процесс заражения происходит в несколько этапов. Первой ступенью является установка той самой программы-приманки, которую злоумышленники выдают за банковское приложение. Фактически, это дроппер, основная задача которого доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль. Поскольку логика работы у исследованных модификаций троянов практически одинакова, дальнейшее описание механизма их функционирования будет основано на примере Android.BankBot.Coper.1.

При запуске дроппер расшифровывает и запускает исполняемый dex-файл (Android.BankBot.Coper.2.origin), который расположен в его ресурсах и замаскирован под веб-документ с именем o.htm. Этому троянскому компоненту отводится роль второй ступени заражения. Одной из его задач является получение доступа к специальным возможностям (Accessibility Services) ОС Android, с помощью которых троян сможет полностью контролировать зараженное устройство и имитировать действия пользователя (например, нажимать на кнопки меню и закрывать окна). Для этого он запрашивает у жертвы соответствующее разрешение. Успешно получив необходимые полномочия, все дальнейшие вредоносные действия троян выполняет уже самостоятельно. Так, он пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.

Троян расшифровывает и при помощи полученных привилегий устанавливает вредоносный apk-пакет (Android.BankBot.Coper.2), скрытый во втором зашифрованном файле и замаскированный под аудио-композицию с именем PViwFtl2r3.mp3. В нем находится троянский модуль Android.BankBot.Coper.1.origin, выполняющий основные вредоносные действия, необходимые злоумышленникам. Этот компонент устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.

При запуске модуль получает доступ к ряду важных функций. Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и СМС-сообщениями.

Далее этот модуль скрывает свой значок из списка приложений на главном экране, «прячась» от пользователя, после чего сообщает C&C-серверу об успешном заражении и ждет дальнейших указаний. Троян поддерживает постоянную связь с сервером, каждую минуту отправляя на него запросы. При необходимости этот интервал может быть изменен соответствующей командой. Кроме того, в зависимости от полученного от сервера ответа троян может изменять и другие свои настройки, среди которых:

• список управляющих серверов;
• список целевых приложений, при запуске которых будут демонстрироваться фишинговые окна;
• список программ, которые необходимо удалить;
• список приложений, запуску которых троян будет препятствовать, возвращая пользователя на главный экран;
• список программ, уведомления от которых будут блокироваться;
• прочие параметры.

При непосредственном получении команд Android.BankBot.Coper.1.origin может выполнять следующие действия:

• выполнять USSD-запросы;
• отправлять СМС;
• заблокировать экран устройства;
• разблокировать экран устройства;
• начать перехват СМС;
• прекратить перехват СМС;
• демонстрировать Push-уведомления;
• повторно отобразить фишинговое окно поверх заданного приложения;
• запустить кейлоггер;
• остановить кейлоггер;
• удалить указанные в команде приложения;
• удалить себя, а также дроппер с устройства.

Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство.

Для демонстрации фишингового окна Android.BankBot.Coper.1.origin использует уже ставший классическим для мобильных банковских троянов метод. Содержимое такого окна загружается с удаленного сервера и помещается в WebView, который имитирует внешний вид целевой программы для обмана жертвы.

Трояны Android.BankBot.Coper обладают целым рядом защитных механизмов. Один из них контроль целостности основного вредоносного компонента. Если он будет удален, банкеры попытаются установить его вновь.

Второй прием отслеживание потенциально опасных для троянов событий, таких как:

• открытие страницы Google Play Protect в Play Маркет;
• попытка пользователя изменить список администраторов устройства;
• доступ пользователя к разделу с информацией о троянском приложении в списке установленных программ;
• попытка пользователя изменить права доступа троянского приложения к функциям специальных возможностей.

Если банкеры фиксируют какое-либо из этих событий, они через функции специальных возможностей Android имитируют нажатие кнопки «Домой», возвращая жертву на главный экран. Если же НОВОЕ НА САЙТЕ

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web