Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Android.Banker.2876

Добавлен в вирусную базу Dr.Web:2018-11-14
Описание добавлено:2018-11-16
  • a9654777c506a6660792090a7c68ebc3e6f0d987
  • 6a0898519da35cae7cd597e8c726d1ec1c85eb52
  • 0aad4333543fccae5e1eae47fd388489299c44fb
  • 42209290f5991739a4ed5cc1a3075fec85f44696
  • 58cea7ff3b9de7ddc8fee4a3928745f50869670f
  • df5f6f184708f6606f14a8485a1385bb0150f77c

Троянец, работающий на мобильных Android-устройствах и распространяющийся под видом банковских приложений. Для управления Android.Banker.2876 и передачи данных злоумышленники используют Firebase Realtime Database и Firebase Cloud Messaging.

При запуске на смартфонах и планшетах под управлением ОС Android 6.0 и выше банкер запрашивает доступ к работе с СМС-сообщениями и осуществлению телефонных звонков:

screenshot Android.Banker.2876 #drweb screenshot Android.Banker.2876 #drweb

При работе на устройствах с ОС Android версии ниже 6.0 необходимые полномочия троянец получает автоматически при установке.

Android.Banker.2876 собирает и передает в облачную базу данных Firebase следующую информацию:

  • текущее время;
  • IMEI-идентификатор;
  • MEID-идентификатор (идентификатор для CDMA-устройств);
  • deviceToken – токен Firebase для зараженного устройства;
  • код страны SIM-карты;
  • код оператора связи;
  • название оператора связи;
  • номер телефона;
  • IP-адрес;
  • MAC-адрес Wi-Fi-адаптера;
  • наименование модели, производителя и бренда устройства.

Если эти данные удалось успешно отправить в базу данных, троянец через сервис Firebase Cloud Messaging информирует контролирующих его злоумышленников о том, что был зарегистрирован новый пользователь. Для этого он передает сообщение типа «New user» с текстом «New user added with device id <id устройства>», где id устройства – идентификатор зараженного смартфона или планшета.

Затем Android.Banker.2876 отображает окно, в котором у жертвы якобы для продолжения использования программы запрашивается номер мобильного телефона:

screenshot Android.Banker.2876 #drweb

После ввода номера в соответствующее поле троянец передает его в онлайн-базу Firebase и показывает второе диалоговое окно. В нем говорится о том, что для завершения «регистрации» учетной записи необходимо подождать от 24 до 48 часов, после чего пользователь якобы получит уведомление от банка.

screenshot Android.Banker.2876 #drweb

В этом же окне расположена кнопка Submit, при нажатии на которую Android.Banker.2876 запускает встроенную в него игру:

screenshot Android.Banker.2876 #drweb

screenshot Android.Banker.2876 #drweb

screenshot Android.Banker.2876 #drweb

Если ранее конфиденциальная информация была успешно передана в облачную базу данных, после закрытия окна троянца тот скрывает свой значок с главного экрана. Для этого Android.Banker.2876 делает свою активность недоступной.

Банкер отслеживает все входящие СМС, перехватывает их и копирует содержимое в локальную базу данных SQLite. Также текст сообщений передается в онлайн-базу Firebase и дублируется в виде СМС, которые отправляются на принадлежащий злоумышленникам номер +3466*****08 или на номер, указанный в Firebase.

При включении смартфона или планшета троянец синхронизирует данные из локальной базы данных и из Firebase. Данные из локальной базы загружаются в Firebase, после чего удаляются с устройства.

Android.Banker.2876 использует сервис Firebase Cloud Messaging для оповещения сервера об онлайн-статусе зараженного смартфона или планшета. Банкер принимает сообщения от сервиса, и, если получает сообщение типа OnlineStatus, то обновляет поле, которое отвечает за статус устройства в Firebase Database. Таким образом, если Android.Banker.2876 получил сообщение, то он устанавливает статус «в сети», если же его статус не меняется, то троянец не получил сообщения.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А