Mobilni bankarski trojanac Faketoken šifruje fajlove i napada više od 2000 aplikacija banaka

Mobilni telefoni, 21.12.2016, 12:30 PM

Mnogi mobilni bankarski trojanci mogu da blokiraju uređaje da bi iznudili novac od žrtava. Sada su međutim stručnjaci kompanije Kaspersky Lab otkrili verziju mobilnog banraskog trojanca Trojan-Banker.AndroidOS.Faketoken koji ide i korak dalje - on šifruje podatke korisnika inficiranih uređaja. Osim toga, Faketoken napada više od 2000 aplikacija banaka iz celog sveta.

Kaspersky Lab je otkrio nekoliko hiljada instalacionih paketa koji mogu da šifruju podatke, od kojih su najstariji iz jula 2016. Prema informacijama ruske kompanije, broj žrtava dostigao je 16000. Žrtve su iz 27 zemalja, a najviše ih ima u Rusiji, Ukrajini, Nemačkoj i na Tajlandu.

Trojan-Banker.AndroidOS.Faketoken se distribuira maskiran u različite programe i igre, a najčešće u Adobe Flash Player.

Faketoken je sposoban za interakciju sa zaštitnim mehanizmima u operativnom sistemu. Na primer, trojanac traži pravo da prekriva druge aplikacije, ili pravo da bude podrazumevana SMS aplikacija. To mu omogućava da krade podatke korisnika čak i na najnovijoj verziji Androida.

Kada se aktivira, Faketoken traži administratorska prava. Ako korisnik odbije taj zahtev, Faketoken ponovo prikazuje prozor sa takvim zahtevom, pa korisnik nema mnogo izbora.

Kada dobije administratorska prava, Faketoken počinje da traži neophodne dozvole: pristup SMS porukama, fajlovima i kontaktima, dozvolu da šalje SMS poruke i obavlja pozive. Ovi zahtevi se takođe ponavljaju sve dok ih korisnik ne odobri.

Trojanac zatim traži pravo da prikazuje svoje prozore iznad drugih aplikacija. To mu je neophodno da bi blokirao uređaj i krade podatke korisnika prikazujući fišing stranice.

I najzad, trojanac traži pravo da bude podrazumevana SMS aplikacija, što mu omogućava da krade SMS poruke i na novijim verzijama Androida. Međutim, na nekim Android telefonima i verzijama Androida, prilikom pokušaja da se pošalje SMS preko Faketokena, prikazuje se greška. Korisnik ne može da šalje SMS poruke sve dok sam ne promeni SMS aplikaciju. Međutim, trojanac će posle toga ponovo početi da traži dozvolu da bude podrazumevana SMS aplikacija.

Faketoken može da manipuliše ikonama aplikacijama, i to ikonama 8 aplikacija, uglavnom onih koje su u vezi sa društvenim mrežama, instant mesindžerima i browserima. Trojanac će pokušati da obriše ikone ovih aplikacija i da kreira nove. I za ovo Faketoken traži prava dosađujući korisniku i ne ostavljajući mu mnogo izbora. Međutim, nije jasno zašto Faketoken to radi jer i njegove ikone vode do originalnih aplikacija.

Sledeća faza delovanja trojanca je krađa podataka korisnika. Faketoken preuzima bazu podataka sa servera koja sadrži fraze na 77 jezika da bi mogao da prikazuje različite poruke u zavisnosti od jezika operativnog sistema.

Ako korisnik klikne na poruku, trojanac prikazuje fišing stranicu za krađu lozinki za Gmail naloge. Pored toga, trojanac prekriva originalnu Gmail aplikaciju tom stranicom sa istim ciljem - da bi mogao da ukrade lozinku.

Ali Faketoken se ne zaustavlja na Gmailu. On to radi i sa aplikacijom Google Play da bi od žrtve ukrao podatke o kreditnoj kartici.

Trojanac može sa komando-kontrolnog servera da dobije listu aplikacija za napad i HTML templejt stranicu za generisanje fišing stranica za napadnute aplikacije. Uzorak koji su analizirali stručnjaci Kaspersky Laba je dobio spisak od 2249 aplikacija banaka.

Pored svega ovoga, Faketoken može da presreće dolazne SMS poruke, šalje poruke sa određenim tekstom na određene brojeve, šalje poruke sa određenim tekstom svim kontaktima, da serveru šalje sve SMS poruke sa uređaja, da serveru šalje kontakte sa uređaja i spisak instaliranih aplikacija, da poziva određene brojeve, da resetuje uređaj na fabrička podešavanja, da preuzima fajl do koga će doći otvaranjem određenog linka, da uklanja aplikacije, da prikazuje obaveštenje da bi korisnik otvorio određenu stranicu ili pokrenuo određenu aplikaciju, da prekriva određene aplikacije fišing prozorima, da otvara linkove u svom prozoru i da blokira uređaj da bi iznudio novac od korisnika.

Funkcionalnost ransomwarea u mobilnim bankarskim trojancima nije novost, prvi put je ovako nešto viđeno početkom 2014. i to kod trojanca Svpeng. Ali nova verzija Faketokena ne samo da blokira ekran, već je u stanju i da šifruje fajlove.

Kada dobije komandu da šifruje fajlove, Faketoken sastavlja listu fajlova koji se nalaze na uređaju i to fajlove koji imaju neku od 89 ekstenzija koje traži trojanac. Faketoken koristi AES algoritam simetričnog ključa. Fajlovi koje šifruje trojanac uključuju i slike, muziku i videa, a kada ih šifruje, Faketoken menja ekstenziju fajla ekstenzijom .cat.

"Na kraju, želeo bih da napomenem da šifrovanje fajlova nije popularno među programerima mobilnog ransomwarea (barem trenutno), možda zbog toga što je većina fajlova sačuvanih na mobilnom uređaju kopirana na oblaku. Drugim rečima, traženje otkupnine za njihovo dešifrovanje je besmisleno", kaže Roman Unuček, stručnjak za mobilne pretnje u Kaspersky Labu.