Банковский троянец Android.BankBot.29.origin крадет аутентификационные данные у клиентов ряда южнокорейских кредитных организаций. При запуске оригинальных программ интернет-банкинга подменяет их интерфейс своей поддельной копией, в которой запрашиваются все конфиденциальные сведения, необходимые для доступа к управлению банковским счетом. Введенная пользователем информация в дальнейшем передается злоумышленникам. Под видом подписки на некую банковскую услугу пытается установить вредоносную программу Android.Banker.32.origin, говорится в отчете компании.
Также вирусные аналитики компании «Доктор Веб» обнаружили еще несколько банковских троянцев, среди которых есть вредоносы, получившие имена Android.BankBot.43 и Android.BankBot.45. Вирусы распространяются под видом легального программного обеспечения, такого как игры, медиаплееры или обновления операционной системы, и, благодаря применению злоумышленниками различных методов социальной инженерии, устанавливаются на Android-смартфоны и планшеты самими же пользователями.
Запустившись в зараженной системе, трояны Android.BankBot пытаются получить доступ к функциям администратора мобильного устройства, чтобы получить доступ к расширенным возможностям системы, включая способность препятствовать удалению вредоносного ПО. В процессе получения необходимых прав они подменяют настоящие сообщения ОС собственными и предлагают пользователю установить «дополнения». Соглашаясь с предложенным действием, пользователь, таким образом, добавляет вирусы в список администраторов гаджета. При попытке удаления Android.BankBot с мобильного устройства процедура исключения их из списка администраторов блокируется, деинсталляция вредоносов стандартными средствами системы становится невозможной.
Установив связь с управляющим сервером, вирусы семейства Android.BankBot по команде хакеров способны позвонить на указанный в команде номер, использовать для связи с управляющим сервером полученный в команде веб-адрес, выполнить указанный в команде USSD- запрос; отправить на сервер все входящие и исходящие sms-сообщения, отправить на сервер подробную информацию о зараженном устройстве и осуществить поиск файла в соответствии с полученным в команде именем, а также выполнить сброс настроек устройства с удалением всех данных пользователя и многое другое.Большинство управляющих команд дублируется злоумышленниками через sms, поэтому банковские троянцы способны выполнять многие функций даже при отсутствии интернет-соединения и связи с управляющим центром, что значительно увеличивает их вредоносный потенциал.
Основная задача вирусов семейства Android.BankBot – кража банковских сведений пользователя и похищение денежных средств. Целью троянцев становятся установленные на мобильных устройствах пользователей программы типа «Банк-Клиент» и магазин Android-приложений Google PlayMarket. При обращении пользователя к этим приложениям, вирусы подделывают их внешний вид, выводят ложное диалоговое окно и крадут аутентификационные данные и реквизиты банковских карт при их вводе. Полученные обманным способом конфиденциальные сведения передаются на управляющий сервер. При хищение средств со счетов пользователей все поступающие от системы безопасности банков sms-сообщения с кодами подтверждения перехватываются вредоносными приложениями и передаются хакерам.
По сообщениям Управления «К» МВД России, за последнее время были арестованы хакеры из Самары, Архангельска, Йошкар-Олы и Челябинска. Жертвами создателей банковских троянов для Android чаще всего становятся клиенты «Сбербанка». Общее число пострадавших от Android.BankBot составляет до 30 тысяч человек, проживающих в Северо-Западном регионе, Калининградской области, в Поволжье и Восточной Сибири. Со своей стороны, «Сбербанк» заявляет, что не отмечает массовых обращений клиентов по поводу кражи денег с их карт, пишет CNews.
