



Специалисты Департамента киберполиции Украины обнаружили новый вредоносный банковский троян, заражающий Android-смартфоны. Особенностью данного вредоносного ПО является то, что оно направлено на жителей Украины и стран СНГ. Троян быстро распространяется, на данный момент количество инфицированных устройств насчитывает более 500 тыс. и по словам специалистов, каждый день количество зараженных устройств увеличивается примерно на 30-40 тысяч.

Этот вредоносный софт отличается от большинства мобильных банковских вирусов тем, что использует root-права, хотя деньги можно украсть множеством других способов, не требующих повышенных прав, и обычно авторы банковского вредоносного обеспечения к ним не стремятся. Троян распространяется, маскируясь под различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram или Subway Surf. Речь идет об их копиях, которые распространяются через неофициальные каталоги. Вредоносный код внедрен злоумышленниками в ресурсы легитимного приложения, после установки файл вируса расшифровывается и запускается на выполнение.

Запущенный файл загружает с управляющего сервера основную часть вредоносного кода, который содержит ссылки на загрузку еще нескольких файлов — эксплойта для получения рута, новых версий вредителя и так далее. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый загруженный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей программы-вредителя, количество и функциональность которых тоже зависят от пожеланий хозяев зловреда.

В результате операторы банковского трояна получают все необходимое для кражи денег жертвы «традиционными методами». В функциональность вредоносного приложения входят: отправка, кража, удаление SMS; запись, переадрессация, блокировка звонков; проверка баланса; кража контактов; осуществление звонков; смена администратора сервера; загрузка и запуск файлов; установка и удаление программ; блокировка устройства с показом веб-страницы, заданной сервером злоумышленников; составление и передача злоумышленникам списка содержащихся на устройстве файлов; отправка, переименование любых файлов; перезагрузка телефона.

Кроме загрузки «классических» модулей, данный троян загружает и популярный пакет эксплойтов для получения прав root, предоставляющий зловреду новый вектор для атаки и уникальные возможности взлома. Так, он устанавливает один из загруженных модулей в системную папку, что затрудняет процесс его деинсталляции, а с помощью прав суперпользователя операторы зловреда могут похитить базы данных браузера Android или браузера Google Chrome, если он установлен. Такие базы данных содержат информацию о сохраненных логинах и паролях, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт. Следует отметить, что root-права также позволяют зловреду похитить практически любой файл в системе — от фотографий и документов до файлов с данными аккаунтов мобильных приложений.

Источник: Киберполиция Украины