Opasni Android bankarski trojanac krade lozinke, kontakte i podatke o platnim karticama

Mobilni telefoni, 24.07.2017, 11:00 AM

Opasni Android bankarski trojanac krade lozinke, kontakte i podatke o platnim  karticama

Stručnjaci ruske kompanije Doctor Web upozorili su korisnike Androida na malver Android.BankBot.211.origin koji pokušava da izvuče sa smart telefona informacije koje su u vezi finansija korisnika, ali i druge informacije, uključujući i one o kontaktima i SMS poruke. Trojanac primorava korisnike da mu odobre pristup Accessibility Serviceu. Kada je malver prvi put primećen, napadao je samo korisnike Androida u Turskoj, ali je ubrzo proširio listu ciljeva, tako da je sada pretnja za korisnike u desetak zemalja.

Android.BankBot.211.origin se distribuira maskiran u benigne programe, kao što je Adobe Flash Player. Kada se instalira i pokrene, trojanac pokušava da dobije pristup Accessibility Serviceu. Zbog toga malver prikazuje prozor sa zahtevom za pristup koji se ponovo pojavljuje svaki put kada se zatvori, tako da ne dozvoljava da uređaj bude korišćen.

Accessibility Service olakšava korisnicima korišćenje Android pametnih telefona i tableta i koristi se na različite načine, između ostalog, i kao pomoć osobama sa invaliditetom. On omogućava programima da samostalno klknu na različite elemente interfejsa, kao što su tasteri u dijalog boksu i sistemskim menijima. Trojanac primorava korisnika da mu odobri ova prava i koristi ih da sam sebe doda na listu administratora uređaja. Android.BankBot.211.origin se sam postavlja kao podrazumevani menadžer poruka, i dobija pristup funkciji snimanja ekrana. Sve ovo je praćeno prikazivanjem sistemskih zahteva koje malver sam odmah odobrava. Ako vlasnik uređaja pokuša da onemogući bilo koju funkciju Android.BankBot.211.origin trojanca, malver to onemogućava i vraća korisnika na sistemske menije.

Posle infekcije, trojanac se povezuje sa komandno-kontrolnim serverom gde registruje mobilni uređaj koji je inficirao, i čeka dalje komande.

Android.BankBot.211.origin može da šalje određeni tekst na broj naznačen u komandi, da šalje serveru SMS podatke sačuvane na uređaju, da prosleđuje serveru informacije o instaliranim aplikacijama, kontaktima i pozivima, da otvara link naveden u komandi, da menja adresu komandnog centra i da prati sve dolazne SMS poruke i šalje ih kriminalcima.

Osim ovih standardnih komandi, sajber kriminalci mogu da šalju trojancu i specijalne naredbe. One sadrže šifrovane informacije o aplikacijama koje trojanac treba da napadne. Kada malver dobije takve komande, on prikazuje lažne forme za unos korisničkih imena i lozinki preko pokrenutih aplikacija banaka, prikazuje fišing dijalog tražeći od korisnika da unese podatke o svojoj platnoj kartici, na primer, kada kupuje na Google Play, i blokira antiviruse i druge aplikacije koje ga mogu ometati.

Trojanac može da napada korisnike svih aplikacija. Sajber kriminalci samo treba da ažuriraju konfiguracioni fajl spiskom ciljanih programa. Trojanac dobija ovaj spisak kada se poveže sa serverom. Kada je prvi put primećen, trojanac je bio zainteresovan samo za korisniki turskih banaka. Međutim, kasnije je taj spisak proširen tako da sada uključuje i stanovnike drugih zemalja, između ostalih, Nemačke, Australije, Poljske, Francuske, Velike Britanije i SAD. U ovom trenutku, spisak aplikacija koje napada trojanac sadrži više od 50 aplikacija koje su dizajnirane za rad sa platnim sistemima i daljinskim servisima banaka (RBS) i drugim softverom.

Trojanac takođe prikuplja informacije o svim pokrenutim aplikacijama i onome što korisnik radi sa njima. Malaver prati kucanje na tastaturi, elemente menija i druge komponente korisničkog interfejsa.

Android.BankBot.211.origin može da krade informacije o prijavljivanju i druge informacije koje korisnici unose u aplikacije i na web sajtove prilikom autorizacije. Da bi ukrao lozinke, trojanac pravi snimke svakog pritiska korisnika na tastere. Na taj način on dolazi do karaktera koje korisnik unosi pre nego što oni budu sakriveni. Sve snimke malver šalje komandno-kontrolnom serveru.

Pošto trojanac sprečava korisnika da ga ukloni, inficirani uređaj mora biti pokrenut u bezbednom modu. U sistemskim podešavanjima, na listi administratora uređaja, korisnik mora da nađe trojanca i da opozove prava koja je malver dobio, ne osvrćući se na pokušaj malvera da ga zastraši upozorenjem da rizikuje da izgubi važne podatke. To je trik, fajlovi zapravo nisu u opasnosti. Uređaj zatim treba restartovati, skenirati antivirusom i ukloniti trojanca posle toga.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Istraživači kompanije TrendMicro otkrili su malver za Android uređaje koji je nazvan CallerSpy, za koji se veruje da se koristi za sajber-špijuna... Dalje

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro sa pojedinačno onemogućenim praćenjem lokacije za sve aplikacije i sistemske usluge ipak nastavlja da prikuplja informacije o lokac... Dalje

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

FaceApp, mobilna aplikacija koja omogućava korisnicima da prave selfije a od njih prave starije verzije sebe, smatra se „potencijalnom kontraob... Dalje

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisn... Dalje

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indijska vlada želi da izvrši reviziju sigurnosnih sistema WhatsAppa nakon otkrića da je špijunski softver Pegasus iskoristio ranjivosti platform... Dalje