Android-троянец, атакующий южнокорейских пользователей. Предназначен для удаления ряда банковских приложений и замены их поддельными версиями, а также для выполнения поступающих от злоумышленников команд. Представляет собой исполняемый dex-файл для операционной системы Android (Dalvik executable). Запускается при помощи дроппера Android.MulDrop.46.origin, который может распространяться злоумышленниками под видом легального ПО.
Связь с управляющим сервером и выполнение команд злоумышленников
С целью определения IP-адреса управляющего сервера Android.BankBot.35.origin выполняет соединение со следующими удаленными узлами:
http://[xxx].[xxx].85.17:5245/dns.asp?name=sdk[xxx].vi[xx].co
http://m.[xxx]ne.com/profile?hostuin=[xxxxxx]1716
http://[xxx].[xxx].85.17:5245/dns.asp?name=xiao[xx].ie[xx].net.
После установки связи с сервером Android.BankBot.35.origin отправляет на него следующую информацию (используется формат JSON):
- тип мобильной сети;
- тип активного подключения к Интернету (мобильный интернет или Wi-Fi);
- уровень сигнала Wi-Fi;
- сведения о наличии SIM-карты;
- телефонный номер пользователя;
- уровень заряда аккумулятора;
- IMEI-идентификатор устройства;
- версия троянца;
- уникальный идентификатор троянца;
- информация, запрашиваемая по команде.
В ответ вредоносная программа получает список управляющих команд (также в формате JSON). Получив указания от киберпреступников, Android.BankBot.35.origin может выполнить следующие действия:
- отправить СМС-сообщение с заданным текстом на указанный номер;
- включить или выключить передатчик Wi-Fi;
- загрузить на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера);
- загрузить с удаленного узла и запустить заданный злоумышленниками dex-файл.
Замена легитимных версий банковских клиентов
Каждые 90 секунд троянец проверяет, установлено ли на зараженном мобильном устройстве одно из следующих банковских приложений, принадлежащих южнокорейским кредитным организациям:
- com.wooribank.pib.smart;
- com.kbstar.kbbank;
- com.ibk.neobanking;
- com.sc.danb.scbankapp;
- com.shinhan.sbanking;
- com.hanabank.ebk.channel.android.hananbank;
- nh.smart;
- com.epost.psf.sdsi;
- com.kftc.kjbsmb;
- com.smg.spbs.
Если одно из них будет найдено, Android.BankBot.35.origin соединяется с управляющим сервером и загружает с него соответствующую поддельную версию:
http://[xxx].[xxx].245.166:6545/ *pk_name*.apk, где *pk_name*.apk – имя вредоносной копии банковской программы. Таким образом троянец может загрузить следующие приложения (детектируются как Android.MulDrop.46.origin):
- com.cash.apc.woori.kr.android.apd;
- com.kr.androids.kbstar.kbbankings.app;
- com.ibk.korea.kr.androids.ibkbanking;
- com.goog.sc.android.dadbdkr.scbankapp;
- com.android.google.shinhanbbk.kr.app;
- com.hana.google.kr.channel.korea.app;
- com.we.google.nhb.kr.bk.app;
- com.android.post.fsps.kr.wu.sdsi;
- com.kr.android.ftkc.kjb.kjbsmb.app;
- com.androids.kr.kf.androids.sm.spb
После загрузки необходимого программного пакета Android.BankBot.35.origin демонстрирует на экране сообщение с призывом установить якобы новую версию банковского клиента:
С согласия пользователя троянец выполняет деинсталляцию настоящей программы и устанавливает вместо нее поддельную версию.
Запуск дополнительных компонентов
Загруженные троянцем дополнительные dex-файлы запускаются на исполнение при помощи дроппера Android.MulDrop.46.origin. Для этого задействуется аналогичный метод, применяемый при инициализации самого Android.BankBot.35.origin (используется класс DexClassLoader, поэтому пользователь не участвует в данном процессе).
Блокировка СМС-сообщений
Android.BankBot.35.origin способен блокировать и перехватывать СМС-сообщения, поступающие с определенных телефонных номеров. Информация о соответствующих номерах располагается в черном списке вредоносного приложения.
Самозащита
Android.BankBot.35.origin обладает функцией самозащиты. Каждые 2 секунды (для модификации троянца, детектируемой как Android.BankBot.36.origin – 0,2 секунды) вредоносная программа проверяет, активно ли окно следующих приложений:
- com.estsoft.alyac.ui (популярный южнокорейский антивирус);
- packageinstaller.UninstallerActivity (системная утилита управления приложениями);
- *.DeviceAdminAdd (интерфейс управления администраторами мобильного устройства).
Если хотя бы одно из них начинает работу, Android.BankBot.35.origin возвращает пользователя на главный экран операционной системы:
if(v3 != 0 || v4 != 0 || v5 != 0) {
Intent v2 = new Intent("android.intent.action.MAIN");
v2.addCategory("android.intent.category.HOME");
v2.addFlags(268435456);
this.this$1.this$0.service.startActivity(v2);Данная самозащита не задействуется в случае если пользователь все еще не предоставил троянцу права администратора мобильного устройства, а также если в системе по-прежнему установлено хотя бы одно легитимное банковское приложение, которое Android.BankBot.35.origin не успел подменить.
