Троянская программа, заражающая мобильные устройства под управлением ОС Android. Распространяется вирусописателями в модифицированном клиентском ПО для доступа к ДБО Сбербанка России, при этом оригинальное приложение сохраняет полную работоспособность. Может быть загружена пользователями с различных файлообменных сервисов и сайтов – сборников ПО. Основное предназначение этой вредоносной программы – хищение денег с банковских счетов пользователей.
Модифицированная версия приложения имеет следующие изменения в файле AndroidManifest.xml:
<service android:name="ru.sberbankmobile.crb17s" />
<receiver android:name="ru.sberbankmobile.crb17r">
<intent-filter android:priority="1000">
<action android:name="android.intent.action.BOOT_COMPLETED" />
<action android:name="android.provider.Telephony.SMS_RECEIVED" />
</intent-filter>
</receiver>После запуска Android.BankBot.65.origin формирует зашифрованный конфигурационный файл с именем crb17.hex, в котором содержатся основные настройки, необходимые для работы троянца. Данный файл имеет следующие параметры:
- interval - время ожидания после каждого запроса к серверу;
- time, intervalUpdate, intervalSend - значения, служащие для определения времени очередного подключения к серверу;
- timeSend, intervalSms, timeSms – значения, необходимые для определения времени отправки СМС;
- nomera, texts – значения телефонных номеров и текста СМС-сообщения, предназначенного для отправки сразу нескольким адресатам;
- QIWI - имя пакета соответствующего приложения;
- urls - адрес управляющего сервера;
- indNUMBER, indTEXT – значения, необходимые для отправки СМС-сообщения одному адресату;
- parser - список, по которому выполняется поиск определенного текста во входящих сообщениях (в случае успешного обнаружения совпадения данное СМС пересылается на сервер);
- putTEXT, putNUMBER – параметр для внедрения заданного СМС в список входящих сообщений;
- delQUERY – параметр для удаления заданного СМС-сообщения из списка.
Далее троянец формирует POST-запрос к серверу, в котором пересылает следующие данные:
- IMEI-идентификатор устройства;
- наименование мобильного оператора;
- MAC-адрес встроенного Bluetooth-адаптера;
- установлено ли приложение платежной системы QIWI;
- версия API операционной системы;
- версия троянского приложения;
- название пакета троянского приложения;
- текущая выполняемая команда.
Если в ответном запросе от сервера поступает команда «hokkei», Android.BankBot.65.origin отправляет на удаленный узел зашифрованный список контактов пользователя, а также по соответствующей команде злоумышленников обновляет конфигурационной файл.
Благодаря возможности незаметно выполнять отправку и перехват СМС-сообщений по команде злоумышленников троянец способен осуществлять хищение денег с банковских счетов пользователей. Кроме того, вирусописатели могут использовать Android.BankBot.65.origin для организации мошеннических схем, внедряя в список входящих сообщений СМС с произвольным текстом, указанным в команде.
