Кіберполіція попереджає про появу нового банківського трояна, який діє на Android-пристроях. Вірус спрямований на громадян України, Білорусі та інших країн СНД.
Троян швидко розповсюджується і зараз кількість інфікованих пристроїв налічує більше 500 тисяч. За словами спеціалістів, із кожним днем їхня кількість зростає приблизно на 30-40 тисяч.
Як вберегтися?
Троян поширюється, маскуючись під різні популярні додатки, наприклад, “ВКонтакте”, “ДругВокруг”, “Одноклассники”, Pokemon GO, Telegram, або Subway Surf. Мова йде про їхні копії, які поширюються через неофіційні каталоги. Аби не заразити свій девайс, варто уникати завантаження додатків з неофіційних джерел.
Як він працює?
Цей троян відрізняється від більшості мобільних банківських вірусів тим, що використовує root-привілеї.
Впроваджений в легітимний додаток, код розшифровує файл, доданий зловмисниками в ресурси програми, і запускає його. Потім запущений файл викачує з керівного сервера основну частину шкідливого коду, який містить посилання на скачування ще декількох файлів – експлоїта для отримання рута, нових версій шкідника і так далі.
Кількість посилань може змінюватися в залежності від планів зловмисників, більш того – кожен завантажений файл може додатково завантажити з сервера, розшифрувати і запустити нові компоненти. В результаті, на заражений пристрій завантажуються кілька модулів шкідника, кількість і функціональність яких теж залежать від побажань господарів ШПЗ. В результаті, оператори малварі отримують все необхідне для крадіжки грошей жертви “традиційними методами”.
У функціональність шкідливої програми входять:
- Відправлення, крадіжка, видалення SMS;
- Запис, переправлення, блокування дзвінків;
- Перевірка балансу;
- Крадіжка контактів;
- Здійснення дзвінків;
- Зміна керівника сервера;
- Завантаження і запуск файлів;
- Встановлення і видалення програм;
- Блокування пристрою з показом веб-сторінки, заданої сервером зловмисників;
- Складання і передача зловмисникам списку файлів, які містяться на пристрої;
- відправка, перейменування будь-яких файлів;
- Перезавантаження телефона.
Але, крім скачування “класичних” модулів, цей троян також завантажує і популярний пакет експлойтів для отримання прав root, що надає малварі новий вектор для атаки і унікальні можливості. Так, встановлює один з завантажених модулів в системну папку, що ускладнює процес його деінсталяції, а за допомогою прав супер користувача оператори малварі викрадають бази даних дефолтного браузера Android і браузера Google Chrome, якщо він встановлений.
Такі БД містять інформацію про збереженні логіни і паролі, історію відвідувань, файли cookie та іноді навіть збережені дані банківських карт. Слід відзначити, що root-права також дозволяють малварі викрасти практично будь-який файл в системі – від фотографій і документів до файлів з даними акаунтів мобільних додатків.
Будьте обачні!
