ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.BankBot.Coper.1.origin

Добавлен в вирусную базу Dr.Web: 2021-07-05

Описание добавлено:

SHA1:

  • f2de6a855f04a0f5e0999c5b413347adaa1197e2

Описание

Банковский троян для ОС Android, атакующий колумбийских пользователей. Представляет собой исполняемый dex-файл и является компонентом вредоносного приложения Android.BankBot.Coper.2.

Принцип действия

После запуска Android.BankBot.Coper.1.origin скрывает значок родительского приложения Android.BankBot.Coper.2 из списка установленных программ в меню главного экрана ОС Android, а также связывается с C&C-сервером, регистрируя на нем зараженное устройство. Далее троян поддерживает связь с сервером, обращаясь к нему раз в минуту. Этот интервал, однако, может быть изменен при поступлении соответствующей команды. Кроме того, Android.BankBot.Coper.1.origin способен изменять и другие параметры своей конфигурации:

  • response ― различные варианты ответа сервера. Например, REG_SUCCESS или SMS_OK_. Первый поступает при регистрации зараженного устройства, после чего троян устанавливает значение true в поле is_registered конфигурации. При получении второго троян удаляет содержимое перехваченного СМС, хранящееся в поле new_sms;
  • injects_list ― список целевых приложений, при запуске которых будут демонстрироваться фишинговые окна;
  • extra_domains ― список управляющих серверов;
  • block_push_apps ― список программ, уведомления от которых будут блокироваться;
  • minimize_apps ― список приложений, запуску которых троян будет препятствовать, возвращая пользователя на главный экран;
  • uninstall_apps ― список программ, которые необходимо удалить;
  • keylogger_enabled ― запустить кейлоггер.

Также могут устанавливаться таймеры для различных действий:

  • block_push_delay;
  • minimize_delay;
  • uninstall_delay;
  • keylogger_delay;
  • injects_delay;
  • net_delay.

Команды для выполнения вредоносных действий:

  • ussd ― выполнить USSD-запрос;
  • sms ― отправить СМС;
  • lock_on ― заблокировать экран устройства;
  • lock_off ― разблокировать экран устройства;
  • intercept_on ― начать перехват СМС;
  • intercept_off ― прекратить перехват СМС;
  • push ― демонстрировать Push-уведомления;
  • repeat_inject ― повторно отобразить фишинговое окно поверх заданного приложения;
  • start_keylogger ― запустить кейлоггер;
  • stop_keylogger ― остановить кейлоггер;
  • uninstall_apps ― удалить указанные в команде приложения;
  • kill_bot ― удалить себя, а также дроппер с устройства.

Кроме того, Android.BankBot.Coper.1.origin перехватывает и отправляет на сервер содержимое всех push-уведомлений, поступающих на устройство.

Демонстрация фишинговых окон выполняется при помощи WebView, в которое загружается принятое с C&C-сервера содержимое.

При этом все запросы к серверу и поступающие от него ответы шифруются алгоритмом AES с ключом 54569d2aaae7176335a67bf72e86736f.

Пример параметров, передаваемых при регистрационном запросе:

  • xc — тип запроса. Например, bR ― регистрационный запрос. Также может иметь значение bS для отправки СМС и значение bP для других действий;
  • tA — IMEI-номер устройства;
  • tB — номер мобильного телефона;
  • tC — страна пользователя;
  • tD — установленный по умолчанию язык операционной системы;
  • tE — версия операционной системы;
  • tF — наименование модели устройства;
  • tG — наименование мобильного оператора;
  • lA — список установленных приложений;
  • lB — константа;
  • lL — флаг наличия установленного загрузчика;
  • bI — md5-слепок устройства;
  • iA — флаг getDefaultSmsPackage — является ли троян СМС-менеджером по умолчанию;
  • dA — флаг device_admin_set — является ли троян администратором устройства;
  • lK — флаг lock_on — заблокирован ли экран;
  • iAc — флаг accessibility_enabled — имеется ли у трояна доступ к специальным возможностям;
  • up — параметр uptime;
  • kL — флаг keylogger_enabled — включен ли кейлоггер.

Как и троян Android.BankBot.Coper.2.origin, Android.BankBot.Coper.1.origin обладает защитой от удаления.

Индикаторы компрометации

Подробнее об Android.BankBot.Coper.2

Новость о трояне

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А