Analitycy bezpieczeństwa Doctor Web wykryli nowego trojana zaprojektowanego do wykradania pieniędzy z kont bankowych osób korzystających z systemu Android. Cyberprzestępcy wbudowali ten złośliwy program, nazwany Android.BankBot.65.origin i rozpowszechniany pod pozorem oryginalnego oprogramowania, w oficjalną aplikację do bankowości online.
Analitycy bezpieczeństwa zaznajomili się z takim schematem dystrybucji już jakiś czas temu: cyberprzestępcy wstrzykiwali złośliwy kod w legalne aplikacje, rozsiewając je po wielu katalogach z oprogramowaniem i po zasobach plików współdzielonych. Ponieważ zarażona aplikacja wygląda i działa jak legalna, bardzo prawdopodobne jest, że potencjalne ofiary zainstalują ją na swoich urządzeniach mobilnych. Jednakże zamiast prawdziwego programu, użytkownicy dostają zmodyfikowaną wersję, zawierającą trojana zdolnego do wykonywania złośliwych działań na zainfekowanym urządzeniu.
Ostatnio analitycy bezpieczeństwa Doctor Web wykryli trojana bankowego Android.BankBot.65.origin wbudowanego w aplikację do bankowości online rosyjskiego banku Sberbank i dystrybuowanego z użyciem schematu opisanego powyżej. Dodając złośliwą funkcjonalność do programu, cyberprzestępcy zmodyfikowali go i osadzili nową wersję na jednej z popularnych stron przeznaczonych dla urządzeń mobilnych. Zarażona kopia aplikacji działa dokładnie tak samo jak jej oryginalna wersja, więc użytkownicy nie uważają pobranego programu za złośliwy, co zagraża bezpieczeństwu ich poufnych danych. Jak dotąd ponad 70 właścicieli urządzeń z Androidem pobrało już tę zmodyfikowaną aplikację.
Gdy tylko zarażona wersja zostanie zainstalowana i uruchomiona, Android.BankBot.65.origin tworzy specjalny plik konfiguracyjny zawierający parametry operacyjne trojana. Używając tych ustawień, malware zestawia połączenie z serwerem kontrolno-zarządzającym i wysyła następujące informacje używając żądań typu POST:
– IMEI
– Nazwa operatora sieci mobilnej
– Adres MAC karty Bluetooth
– Dane o dostępności aplikacji QIWI Wallet
– Wersja API urządzenia
– Wersja trojana
– Nazwa pakietu trojana
– Aktualnie wykonywane polecenie
Jeśli Android.BankBot.65.origin odbierze ze zdalnego hosta komendę hokkei”, wysyła na serwer zaszyfrowaną listę zawierającą kontakty użytkownika i aktualizuje plik konfiguracyjny na podstawie komendy od cyberprzestępców.
To malware jest dość podobne do innych trojanów bankowych. Przykładowo, jak inne trojany należące to tej rodziny, Android.BankBot.65.origin może wykonywać następujące działania: po komendzie z serwera potrafi przechwytywać przychodzące wiadomości SMS i wysyłać teksty na numery określone przez cyberprzestępców. Co więcej, Android.BankBot.65.origin może dodawać teksty do listy przychodzących wiadomości SMS. Używając tych metod, cyberprzestępcy potrafią wykradać pieniądze z kont bankowych użytkowników (wysyłając komendy SMS do przesłania pieniędzy z konta ofiary na konto cyberprzestępców, lub przechwytując wiadomości zawierające kody weryfikacyjne) i wdrażać inne nieuczciwe schematy działań. Na przykład, cyberprzestępcy potrafią umieścić specjalnie wygenerowaną wiadomość informującą użytkownika, że jego karta kredytowa została zablokowana z prośbą o kontakt telefoniczny z „bankiem” na podany numer, lub wiadomość z prośną o uzupełnienie konta telefonu komórkowego „krewnego, który wpadł w kłopoty”, albo inną wiadomość tego typu.
Analitycy bezpieczeństwa Doctor Web usilnie rekomendują posiadaczom urządzeń z systemem Android pobieranie aplikacji do bankowości online tylko z pewnych źródeł (przykładowo – Google Play lub oficjalne strony organizacji finansowych) i używanie Dr.Web dla Android lub Dr.Web dla Android Light do ochrony swoich urządzeń. Sygnatura Android.BankBot.65.origin została dodana do bazy wirusów Dr.Web, z tego powodu ten złośliwy program nie stanowi zagrożenia dla użytkowników Dr.Web.
Doctor Web
