Современные банковские троянцы для ОС Android создаются вирусописателями и за немалые деньги продаются как коммерческие продукты через подпольные интернет-площадки. Однако недавно на одном из хакерских форумов в свободном доступе появился исходный код одного из таких вредоносов вместе с инструкциями по его использованию. Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к значительному увеличению количества Android-банкеров и росту числа совершаемых с их помощью атак.
Вирусописатели опубликовали исходный код нового вредоносного приложения месяц назад, однако специалисты «Доктора Веб» уже обнаружили Android-банкера, созданного на основе предоставленной киберпреступниками информации. Троянец Android.BankBot.149.origin распространяется под видом безобидных программ и после установки и запуска на смартфон или планшет запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана.
Далее Android.BankBot.149.origin подключается к управляющему серверу и ожидает от него команд. Троянец может отправлять и перехватывать SMS, запрашивать права администратора, выполнять USSD-запросы, получать из телефонной книги список номеров всех имеющихся контактов, рассылать SMS с полученным в команде текстом по всем номерам из телефонной книги, отслеживать местоположение устройства через спутники GPS, получать конфигурационный файл со списком атакуемых банковских приложений и показывать фишинговые окна.
Android.BankBot.149.origin крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами. Исследованный образец контролирует запуск более трех десятков таких программ. Как только Android.BankBot.149.origin обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения. Также троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства. Для этого банкер отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play.
При поступлении SMS троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные сообщения из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер.
Все украденные Android.BankBot.149.origin данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью киберпреступники не только получают интересующую их информацию, но и управляют вредоносным приложением.