Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Android.BankBot.20.origin

Добавлен в вирусную базу Dr.Web: 2015-03-18

Описание добавлено:

Троянская программа, предназначенная для получения нелегального доступа к банковским счетам пользователей мобильных Android-устройств. Может распространяться под видом различных приложений. При запуске запрашивает доступ к правам администратора устройства, после чего удаляет свой значок с главного экрана операционной системы.

screen screen

Получение информации о зараженном устройстве

При помощи POST-запроса по протоколу HTTP троянец загружает на сервер с адресом http://xxx.xxx.66.249/common/servlet/SendDevice следующую информацию об инфицированном мобильном устройстве:

  • телефонный номер;
  • серийный номер SIM-карты;
  • наименование модели мобильного устройства;
  • версия операционной системы;
  • список установленных приложений «Банк-Клиент» целевых кредитных организаций;
  • наименование мобильного оператора.

Кража записей из телефонной книги

Троянец загружает информацию о сохраненных в телефонной книге контактах на сервер, расположенный по адресу http://xxx.xxx.66.249/common/servlet/ContactsUpload. Данные передаются в формате JSON в запросе следующего вида: {"contacts":[{"mobile":"Example_number","name":"Example_contact"}],"mobile":"self_number"}, где параметр «self_number» – телефонный (серийный) номер SIM-карты инфицированного мобильного устройства.

Блокировка входящих звонков и СМС-сообщений

Android.BankBot.20.origin может блокировать все поступающие телефонные звонки, а также перехватывать входящие СМС-сообщения. Данный функционал активен в течение определенного промежутка времени, начиная с 20.06.2014 и заканчивая датой, указанной во внутренних настройках вредоносной программы (зависит от ее версии). Украденные сообщения (как вновь поступившие, так и уже находившиеся в папке «Входящие») загружаются на следующие веб-адреса:

http://xxx.xxx.66.249/common/servlet/SendMassage
http://xxx.xxx.66.249//common/servlet/SendMassage2.

Несанкционированная отправка СМС-сообщений

Троянец может выполнять скрытую отправку СМС. Для этого он обращается по адресу http://xxx.xxx.66.249/common/servlet/GetMessage с JSON-запросом вида {"id":"2","mobile":"self_number"}, где «self_number» - телефонный (серийный) номер SIM-карты инфицированного устройства. В ответ от сервера вредоносная программа получает JSON вида {"content":"sms_cont","tomobile"":"sms_numb"} и посылает сообщение на номер, указанный в параметре «sms_numb», с текстом, указанным в параметре «sms_cont».

Кража банковских сведений

Основной вредоносный функционал Android.BankBot.20.origin заключается в подмене легитимных версий мобильных банковских клиентов их поддельными копиями. Для этого троянец проверяет наличие на мобильном устройстве следующих приложений:

  • nh.smart
  • com.shinhan.sbanking
  • com.webcash.wooribank
  • com.kbstar.kbbank
  • com.hanabank.ebk.channel.android.hananbank
  • com.epost.psf.sdsi
  • com.smg.spbs
  • com.areo.bs

Полученный список загружается на удаленный сервер по адресу http://xxx.xxx.66.249/common/servlet/GetPkg, после чего злоумышленники могут отдать команду на скачивание той или иной поддельной версии банковского приложения, которая после загрузки помещается в каталог /sdcard/Download/update. Троянец инициирует процесс установки скачанных программ, для чего демонстрирует сообщение о необходимости выполнить обновление: «새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다». При этом настоящие банковские клиенты удаляются. Устанавливаемые копии оригинальных приложений имитируют их интерфейс и требуют у пользователей ввести аутентификационные данные для авторизации, в результате чего злоумышленники могут получить доступ к банковским счетам своих жертв.

Управляющий сервер

На сервере управления Android.BankBot.20.origin располагается администраторская панель, при помощи которой киберпреступники отслеживают статистику заражений мобильных устройств, а также управляют ботами.

Сводная статистика по зараженным устройствам:

screen

Интерфейс установки поддельных банковских приложений:

screen

По умолчанию сервер управления располагается по адресу http://xxx.xxx.66.249/, однако в троянце предусмотрена возможность его изменения, для чего злоумышленниками используется СМС-сообщение вида «V:www.commandcenterurl.com».

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке