Фахівці «Доктор Веб» розповіли про трояни для Android, який отримав ідентифікатор Android.BankBot.358.origin . Шкідливий атакує клієнтів Ощадбанку, викрадає інформацію про банківські картки, краде гроші, а також здатний блокувати заражені гаджети і вимагати викуп за розблокування.
Експерти «Доктор Веб» підрахували, що сумарний обсяг коштів, які зловмисники можуть вкрасти з банківських рахунків власників заражених пристроїв, перевищує 78 000 000 рублей. Крім того, атакуючі можуть викрасти понад 2 700 000 рублів з рахунків мобільних телефонів.
Дослідники пишуть, що Android.BankBot.358.origin відомий компанії з кінця 2015 року. Однак нові версії трояна націлені саме на російських клієнтів Ощадбанку, і малваре заразила уже більше 60 000 мобільних пристроїв. Так як розробники малварі поширюють безліч різних версій шкідливий, число потерпілих може і перевищувати вказану кількість.
На скріншотах нижче можна побачити адмінку трояна зі статистикою по одній з виявлених дослідниками бот-мереж. Також в адмінці можна налаштувати параметри вікон блокування: задавати текст виведених повідомлень, тривалість їх відображення і необхідну суму викупу.
Аналітики "Доктор Веб" повідомляють, що малваре поширюється за допомогою SMS-повідомлень, які можуть розсилати як злочинці, так і сам шкідливий. Найчастіше повідомлення відправляються від імені користувачів сервісу Avito.ru. У таких SMS потенційній жертві пропонують перейти по посиланню, наприклад, щоб ознайомитися з відповіддю на оголошення. Крім того, власники мобільних пристроїв отримують підроблені повідомлення про кредити, мобільних перекладах і зарахування грошей на рахунок у банку. Нижче наведені приклади фішингових повідомлень, які задаються в адмінці керуючого сервера і розсилаються по команді операторів трояна.
Поряд з крадіжкою грошей та блокуванням заражених пристроїв Банкер здатний виконувати і інші шкідливі дії. Отримуючи команди від зловмисників, він може:
- завантажувати власні поновлення;
- розсилати SMS-повідомлення по всіх номерах в телефонній книзі
- розсилати SMS-повідомлення за вказаними в командах номерами;
- завантажувати задані операторами сайти;
- відправляти на віддалений сервер зберігаються на пристрої SMS-повідомлення;
- отримувати інформацію про контакти з телефонної книги;
- створювати підроблені вхідні SMS-повідомлення.
Перейшовши по шкідливої посиланням з SMS, жертва потрапляє на що належить зловмисникам сайт, звідки на пристрій завантажується apk-файл шкідливого програми. Для більшої переконливості автори малварі використовують іконки цього додатка Avito. Також деякі версії Банкера можуть поширюватися під виглядом інших програм - наприклад, ПО для роботи з платіжними системами Visa і Western Union.
Далі малваре діє за тим самим перевіреної багатьма зловмисниками схемою: бере користувача «змором». Так, при першому запуску троян запитує права адміністратора і повторює ці запити до тих пір, поки користувач не погодиться. Отримавши необхідні привілеї, троян відображає фальшиве повідомлення про помилку установки і взагалі видаляє свій значок на головному екрані.
Якщо пізніше користувач спробує відібрати у Банкера права адміністратора, троян активує функцію самозахисту і закриє відповідне вікно установок системи. При цьому деякі версії Android.BankBot.358.origin додатково встановлюють ще й власний PIN-код розблокування екрана.
Як було сказано вище, головна мета трояна - викрадення грошей у російськомовних клієнтів Ощадбанку, при цьому основним вектором атаки є фішинг. Так, зловмисники відправляють Android.BankBot.358.origin команду на блокування пристрою вікном з шахрайським повідомленням. Воно імітує зовнішній вигляд системи дистанційного банківського обслуговування Сбербанк Онлайн і відображається для всіх користувачів незалежно від того, чи є ті клієнтами Ощадбанку.
У цьому повідомленні йдеться про нібито надійшов грошовий переказ в розмірі 10 000 рублів. Для отримання коштів власнику пристрою пропонують вказати повну інформацію про банківську карту: її номер, ім'я власника, дату закінчення дії, а також секретний код CVV. Без введення необхідних даних вікно неможливо закрити, і пристрій залишається заблокованим. В результаті користувач змушений підтвердити «зарахування коштів», після чого інформація про карту передається зловмисникам.
Дослідники відзначають, що в даний час Банкер не виконує повну перевірку відомостей про банківські картки, тобто блокування знімається після введення будь-яких, абсолютно довільних даних.
Якщо у користувача підключена послуга Мобільний банк, з її допомогою малваре намагається викрасти гроші з рахунку жертви. Троян таємно відправляє SMS з командами для виконання операцій в системі онлайн-банкінгу. Так, він перевіряє поточний баланс карти користувача і автоматично переводить кошти або на банківський рахунок зловмисників, або на рахунок їх мобільного телефону. Приклад такої активності можна побачити на наступній ілюстрації.
Більш того, деякі версії Банкера можуть блокувати заражене пристрій повідомленням з вимогою оплати штрафу за перегляд «заборонених» відео. Також для приховування шкідливої активності (наприклад, надходження підозрілих SMS), деякі версії Android.BankBot.358.origin здатні блокувати екран зараженого девайса повідомленням про встановлення якогось системного оновлення.
Представники Ощадбанку вже випустили прес-реліз , В якому спростовують повідомлення про загрозу з боку Android.BankBot.358.origin. «Фахівцям банку вже давно відомо про існування даного вірусу. Додаток Сбербанк Онлайн з вбудованим антивірусом надійно захищає пристрої від подібних атак », - стверджує Сбербанк.
