Троян под названием BankBot крадёт данные банковских карт пользователей гаджетов на платформе Android.
В официальном магазине Google Play находятся сотни приложений, зараженных опасным вирусом, говорят специалисты по кибербезопасности из лаборатории Dr. Web. Они полагают, что вирус крадет данные банковских карт пользователей и, в конечном счете, получает полный контроль над гаджетом пользователя.
После того, как вирус получил полный контроль над устройством, пользователю уже не спасти личные данные при запуске платежной банковской системы. Таким образом, владелец устройства расстается и с деньгами.
Режим специальных возможностей упрощает работу с Android-смартфонами и планшетами и применяется в том числе для помощи пользователям с ограниченными возможностями. Он позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню. Вынудив пользователя предоставить троянцу эти полномочия, Android.BankBot.211.origin с их помощью самостоятельно добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана. Все эти действия сопровождаются показом системных запросов, которые можно вовсе не заметить, т. к. вредоносная программа мгновенно подтверждает их. Если же владелец устройства в дальнейшем пытается отключить какую-либо из полученных Android.BankBot.211.origin функций, банкер не позволяет это сделать и возвращает пользователя в предыдущие системные меню.
После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен выполнять следующие действия:
- отправлять СМС с заданным текстом на указанный в команде номер;
- передавать на сервер сведения об СМС, которые хранятся в памяти устройства;
- загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах;
- открывать заданную в команде ссылку;
- изменять адрес командного центра.
Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.
Помимо стандартных команд, злоумышленники могут отправлять троянцу специальные директивы. В них в зашифрованном виде содержится информация о приложениях, которые банкеру необходимо атаковать. При получении таких команд Android.BankBot.211.origin может:
- показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ;
- отображать фишинговое окно настроек платежного сервиса с запросом ввода информации о банковской карте (например, при работе с программой Google Play);
- блокировать работу антивирусов и других приложений, которые могут помешать троянцу.
Android.BankBot.211.origin может атаковать пользователей любых приложений. Киберпреступникам достаточно лишь обновить конфигурационный файл со списком целевых программ, который банкер получает при соединении с управляющим сервером. Например, в начале наблюдения за троянцем вирусописателей интересовали только клиенты кредитных организаций Турции, однако позднее к ним добавились жители других стран, среди которых Германия, Австралия, Польша, Франция, Англия и США. На момент публикации этого материала в списке атакуемых троянцем программ содержится более 50 приложений, предназначенных для работы с платежными системами и ДБО, а также другое ПО.
Чтобы не стать жертвами хакеров, специалисты советуют не скачивать подозрительные приложения.