КОРИСТУВАЧАМ

Підтримка
Цілодобова підтримка | Правила звернення

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86
Локальна технічна підтримка:
+380 (44) 224-41-60

Поширені запитання |  Форум |  Бот самопідтримки Telegram

Ваші запити

  • Всі: -
  • Незакриті: -
  • Останій: -

Зателефонуйте

Глобальна підтримка:
+7 (495) 789-45-86
Локальна технічна підтримка:
+380 (44) 224-41-60

Зв'яжіться з нами Незакриті запити: 

Профіль

Профіль

Android.BankBot.80.origin

Добавлен в вирусную базу Dr.Web: 2015-10-27

Описание добавлено:

  • dec7aec692fed8473f0fc3cab1b10726bf9ee107
  • 7c7536ed7a5ff60021398240c0799512fb8c52a4
  • 228963460817b4aaac27e2fcdfc121a20571b099 (детектируется записью Android.SmsBot.472.origin)

Троянская программа, работающая на мобильных устройствах под управлением ОС Android и предназначенная для кражи денег пользователей. Может распространяться под видом безобидных приложений, например, оригинального банковского клиентского ПО или программы для голосования в фотоконкурсе.

После запуска демонстрирует на экране стандартный системный запрос на доступ к функциям администратора мобильного устройства. При этом в случае отказа пользователя повторяет это действие до тех пор, пока не получит необходимые полномочия.

screen Android.BankBot.80.origin #drweb

Троянец сканирует адресную книгу владельца зараженного Android-смартфона или планшета и оправляет по всем найденным в ней телефонным номерам СМС-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». Указанная ссылка ведет на мошеннический веб-ресурс, при посещении которого на мобильные устройства потенциальных жертв автоматически загружается одна из модификаций троянца, детектируемая Антивирусом Dr.Web как Android.SmsBot.472.origin. Также на этом сайте предлагается скачать приложение для голосования в фотоконкурсе. Данная программа представляет собой не что иное, как очередную версию банкера Android.BankBot.80.origin.

screen Android.BankBot.80.origin #drweb

Одновременно с рассылкой СМС-сообщений троянец отправляет на управляющий сервер http://****bora.com/api/?id=3 POST-запрос, информирующий вирусописателей об успешном заражении Android-устройства. Данный запрос содержит следующую информацию:

  • method=install – тип запроса к серверу;
  • &id=FKLKJDFSWXXXXXXXXXXXXXXX – уникальный идентификатор зараженного устройства, где «FKLKJDFSW» - параметр, который содержится в ресурсах троянца, и «XXXXXXXXXXXXXXX» - номер IMEI;
  • &operator= – название мобильного оператора;
  • &model= – название модели устройства;
  • &os= – версия установленной ОС;
  • &phone= – номер телефона жертвы;
  • &imei= – IMEI-идентификатор;
  • &version= – номер версии троянца;
  • &country= – язык ОС.

После этого с заданной периодичностью Android.BankBot.80.origin соединяется с управляющим сервером и ожидает поступления одной из следующих команд:

  • call_number – включить переадресацию звонков на указанный номер;
  • sms_grab – установить временной интервал сокрытия входящих СМС – если сообщения поступают в заданный период, троянец блокирует соответствующие системные уведомления, а сами СМС удаляет;
  • sms_send – отправить СМС;
  • ussd – выполнить USSD-запрос;
  • delivery – выполнить рассылку СМС-сообщения с заданным текстом всем контактам из телефонной книги;
  • new_url – изменить адрес управляющего сервера;
  • install_true – записать изменение флага inst в конфигурационном файле (AppPrefs).

При поступлении пользователю входящего сообщения троянец передает информацию о нем на сервер. Если ранее был установлен временной интервал командой sms_grab, то владелец зараженного устройства не получит соответствующего уведомления о входящем СМС, и оно будет удалено.

При выполнении команды delivery Android.BankBot.80.origin активирует переадресацию входящих вызовов на номер +79009999999:

callforward(this.context, "*21*+79009999999#"),

В результате жертва лишается возможности принимать все адресованные ей звонки.

Данная вредоносная программа способна незаметно для пользователей похищать деньги со счетов их мобильных телефонов, банковских карт, а также счетов в платежных системах.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Російський розробник антивірусів Dr.Web

Досвід розробки з 1992 року

Dr.Web користуються в 200+ країнах світу

Понад 71% доходу компанії — продажі бізнес-клієнтам

Технічна підтримка 24х7х365 UA|RU|En

Dr.Web © «Доктор Веб» 2003 — 2022

ТОВ "Дата Протекшн" є офіційним представником на території України виробника програмної продукції під торговою маркою Dr.Web®