Троянец Android.ZBot использует «веб-инжекты» для кражи конфиденциальных данных
Новости Безопасность
Крадущие деньги с банковских счетов троянцы в настоящее время представляют серьезную угрозу для владельцев мобильных устройств под управлением ОС Android, сообщает компания «Доктор Веб».
Одним из таких вредоносных приложений является банкер Android.ZBot, различные модификации которого атакуют смартфоны и планшеты российских пользователей с февраля текущего года. Данный троянец интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО. Полученные специалистами компании «Доктор Веб» данные говорят о том, что зараженные Android.ZBot устройства объединяются в бот-сети, при этом число последних в настоящий момент составляет более десятка. Однако не исключено, что со временем их количество будет только расти, т. к. вирусописатели по-прежнему активно распространяют эту вредоносную программу, отмечают эксперты.
Первая модификация банковского троянца Android.ZBot была обнаружена еще в феврале этого года и получила по классификации Dr.Web имя Android.ZBot.1.origin. Начиная с этого момента вирусные аналитики компании «Доктор Веб» стали пристально следить за активностью данного вредоносного приложения.
Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы (в данном случае – приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.
Если же пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.
Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера банкер выполняет следующие действия:
- отправляет СМС с заданным текстом на указанный номер;
- совершает телефонный звонок;
- отправляет СМС по всем телефонным номерам из книги контактов;
- перехватывает входящие СМС;
- получает текущие GPS-координаты;
- показывает специально сформированное диалоговое окно поверх заданного приложения.
Например, сразу после того как на управляющем сервере регистрируется новое зараженное устройство, троянец получает команду на проверку состояния банковского баланса пользователя. Если вредоносная программа обнаруживает наличие денег, она автоматически переводит заданную злоумышленниками сумму на подконтрольные им счета. Таким образом, Android.ZBot.1.origin может получить доступ к управлению банковскими счетами владельцев мобильных Android-устройств и незаметно для пользователей похитить деньги при помощи специальных СМС-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от банков сообщения с проверочными кодами транзакций.
Примечательно, что часть вредоносного функционала Android.ZBot.1.origin (например, отправка СМС-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.
Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, но механизм ее любопытен. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа.
Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.
В частности, киберпреступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения и т. п. При этом выводимая на экран форма «привязывается» к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки «Назад», Android.ZBot.1.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. В результате у владельца зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянец получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего злоумышленники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами.
Примечательно, что сами вирусописатели часто позиционируют такие вредоносные функции в качестве веб-инжектов, однако они таковыми не являются, т. к. из-за ограничений ОС Android троянцы не могут встроить посторонний HTML-код в экранные формы атакуемых программ.
На данный момент вирусным аналитикам компании «Доктор Веб» известно о нескольких модификациях вредоносного приложения Android.ZBot.1.origin, которое киберпреступники применяют преимущественно против российских пользователей. В частности, обнаруженная в феврале первая версия троянца до сих пор весьма активна: только в прошедшем ноябре антивирусные продукты Dr.Web для Android зафиксировали банкера на более чем 1100 устройствах. А за весь период наблюдений на Android-смартфонах и планшетах троянец был найден в общей сложности 25 218 раз.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone