Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

Банковский троянец атакует европейских пользователей Android-устройств

16 ноября 2018 года

Банковские троянцы остаются в числе самых опасных вредоносных программ –— с их помощью злоумышленники крадут конфиденциальную информацию и деньги пользователей. Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play одного из таких троянцев. Он атаковал клиентов ряда европейских банков.

Троянец, получивший имя Android.Banker.2876, распространялся под видом официальных приложений нескольких европейских кредитных организаций: испанских Bankia, Banco Bilbao Vizcaya Argentaria (BBVA) и Santander, французских Credit Agricole и Groupe Banque Populaire, а также немецкой Postbank. В общей сложности наши специалисты обнаружили 6 модификаций Android.Banker.2876. Все они были оперативно удалены из Google Play после обращения «Доктор Веб» в корпорацию Google.

screenshot Android.Banker.2876 #drweb

После запуска пользователем троянец запрашивает доступ к управлению телефонными звонками и совершению вызовов, а также к отправке и получению СМС-сообщений. При этом на устройствах c ОС Android ниже версии 6.0 эти разрешения предоставляются автоматически во время установки вредоносной программы. Пример такого запроса показан на изображениях ниже:

screenshot Android.Banker.2876 #drweb screenshot Android.Banker.2876 #drweb

Android.Banker.2876 собирает и отправляет в облачную базу данных Firebase конфиденциальную информацию – номер мобильного телефона и данные SIM-карты, а также ряд технических сведений о мобильном устройстве, – после чего уведомляет злоумышленников об успешном заражении. Затем троянец показывает окно с сообщением, в котором потенциальной жертве якобы для продолжения работы с программой предлагается указать номер телефона. При этом каждая из модификаций банкера предназначена для конкретной аудитории. Например, если троянец имитирует приложение испанского банка, то интерфейс Android.Banker.2876 и демонстрируемый текст будут на испанском языке.

screenshot Android.Banker.2876 #drweb

Введенный жертвой номер передается в облачную базу данных, а пользователь видит второе сообщение. В нем говорится о необходимости подождать подтверждения «регистрации». Здесь же отображается кнопка «Submit», при нажатии на которую совершенно неожиданно для жертвы вирусописателей запускается встроенная в Android.Banker.2876 игра.

screenshot Android.Banker.2876 #drweb

screenshot Android.Banker.2876 #drweb

screenshot Android.Banker.2876 #drweb

Если ранее троянец успешно загрузил в «облако» информацию о мобильном устройстве, он скрывает свой значок с главного экрана и в дальнейшем запускается в скрытом режиме автоматически при включении зараженного смартфона или планшета.

Android.Banker.2876 перехватывает все входящие СМС и сохраняет их содержимое в локальную базу данных. Кроме того, текст сообщений загружается в базу Firebase и дублируется в СМС, отправляемых на мобильный номер киберпреступников. В результате злоумышленники способны получать одноразовые пароли подтверждения банковских операций и другую конфиденциальную информацию, которая может быть использована для проведения фишинг-атак. Помимо этого, собираемые троянцем номера телефонов могут помочь вирусописателям в организации различных мошеннических кампаний.

Все известные модификации Android.Banker.2876 успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому для наших пользователей опасности не представляют.

Подробнее о троянце

#Android, #Google_Play, #банковский_троянец, #фишинг, #мошенничество

Ваш Android нуждается в защите
Используйте Dr.Web

Скачать бесплатно

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии