Троян для Android підміняє дані в буфері обміну

Експерти компанії «Доктор Веб» розповіли про виявлення мобільних шкідливий сімейства Android.Clipper, які підміняють в буфері обміну адреси кріптовалютних гаманців і акаунтів платіжних систем. Якщо подібна малваре для Windows зустрічається досить часто, то користувачі Android стикаються з такими погрозами куди рідше.

Малваре, здатну непомітно підміняти номера електронних гаманців в буфері обміну, щоб відправляються гроші надходять не одержувачу, а зловмисникам, прийнято називати «Кліпер» (від терміна clipboard, «буфер обміну»). У серпні 2018 року в вірусні бази «Доктор Веб» поповнилися відразу двома модифікаціями трояна-кліпера Android.Clipper: Android.Clipper.1.origin і Android.Clipper.2.origin .

Android.Clipper здатний підміняти в буфері обміну номера гаманців наступних платіжних систем і криптовалюта:

  • QlWl;
  • Webmoney R;
  • Webmoney Z;
  • "Яндекс гроші";
  • Bitcoin;
  • Monero;
  • zCash;
  • DOGE;
  • DASH;
  • Etherium;
  • Blackcoin;
  • Litecoin.

Дослідники пишуть, що шкідливий може поширюватися під виглядом відомих і нешкідливих додатків. Наприклад, на ілюстрації нижче малваре маскується під ПО для роботи з гаманцями Bitcoin.

При першому запуску на інфікованому пристрої троян виводить підроблене повідомлення про помилку і продовжує роботу в прихованому режимі. Для цього він змінює настройки доступу своїм головним активності clipper.abcchannelmc.ru.clipperreborn.MainActivity, тим самим роблячи її недоступною. В результаті значок програми зникає з головного екрану ОС Android. Після чого шкідливу програму можна виявити тільки в системних настройках пристрою. Далі обидві модифікації Android.Clipper запускаються автоматично при кожному включенні інфікованого смартфона або планшета.

Після успішного зараження пристрою троян починає відстежувати зміну вмісту буфера обміну. Якщо малваре виявляє, що користувач скопіював в буфер номер електронного гаманця, він відсилає цей номер на свій керуючий сервер http: //fastfrmt.*****.tech. Далі троян відправляє на сервер ще один запит, чекаючи у відповідь номер гаманця зловмисників, який потрібно вставити в буфер обміну, замість справжнього.

За даними «Доктор Веб», автор Android.Clipper активно продає малваре цього сімейства на хакерських форумах. При цьому клієнти вирусописатели можуть використовувати довільний значок і назва програми для кожної придбаної копії шкідливої ​​програми. У своїх рекламних повідомленнях розробник малварі заявляє про можливість відправки звітів про роботу Android.Clipper в Telegram і оперативної зміни номерів гаманців, впроваджуваних в буфер обміну, з використанням протоколу FTP.

У звіті «Доктор Веб» зазначається, що в самій малварі ці функції не реалізовані. Описані можливості надає злочинцям керуючий сервер.

Дослідники вважають, що найближчим часом можна очікувати появи великої кількості модифікацій цих троянів, які будуть поширюватися під виглядом безневинного і корисного ПЗ.