Trojan bankowy BankBot zagraża użytkownikom Androida

12 czerwca, 2015

Analitycy bezpieczeństwa Doctor Web wykryli nowego trojana zaprojektowanego do wykradania pieniędzy z kont bankowych osób korzystających z systemu Android. Cyberprzestępcy wbudowali ten złośliwy program, nazwany Android.BankBot.65.origin i rozpowszechniany pod pozorem oryginalnego oprogramowania, w oficjalną aplikację do bankowości online.

Analitycy bezpieczeństwa zaznajomili się z takim schematem dystrybucji już jakiś czas temu: cyberprzestępcy wstrzykiwali złośliwy kod w legalne aplikacje, rozsiewając je po wielu katalogach z oprogramowaniem i po zasobach plików współdzielonych. Ponieważ zarażona aplikacja wygląda i działa jak legalna, bardzo prawdopodobne jest, że potencjalne ofiary zainstalują ją na swoich urządzeniach mobilnych. Jednakże zamiast prawdziwego programu, użytkownicy dostają zmodyfikowaną wersję, zawierającą trojana zdolnego do wykonywania złośliwych działań na zainfekowanym urządzeniu.

Ostatnio analitycy bezpieczeństwa Doctor Web wykryli trojana bankowego Android.BankBot.65.origin wbudowanego w aplikację do bankowości online rosyjskiego banku Sberbank i dystrybuowanego z użyciem schematu opisanego powyżej. Dodając złośliwą funkcjonalność do programu, cyberprzestępcy zmodyfikowali go i osadzili nową wersję na jednej z popularnych stron przeznaczonych dla urządzeń mobilnych. Zarażona kopia aplikacji działa dokładnie tak samo jak jej oryginalna wersja, więc użytkownicy nie uważają pobranego programu za złośliwy, co zagraża bezpieczeństwu ich poufnych danych. Jak dotąd ponad 70 właścicieli urządzeń z Androidem pobrało już tę zmodyfikowaną aplikację.

bankbot 1

Gdy tylko zarażona wersja zostanie zainstalowana i uruchomiona, Android.BankBot.65.origin tworzy specjalny plik konfiguracyjny zawierający parametry operacyjne trojana. Używając tych ustawień, malware zestawia połączenie z serwerem kontrolno-zarządzającym i wysyła następujące informacje używając żądań typu POST:

  • IMEI
  • Nazwa operatora sieci mobilnej
  • Adres MAC karty Bluetooth
  • Dane o dostępności aplikacji QIWI Wallet
  • Wersja API urządzenia
  • Wersja trojana
  • Nazwa pakietu trojana
  • Aktualnie wykonywane polecenie

Jeśli Android.BankBot.65.origin odbierze ze zdalnego hosta komendę “hokkei”, wysyła na serwer zaszyfrowaną listę zawierającą kontakty użytkownika i aktualizuje plik konfiguracyjny na podstawie komendy od cyberprzestępców.

To malware jest dość podobne do innych trojanów bankowych. Przykładowo, jak inne trojany należące to tej rodziny, Android.BankBot.65.origin może wykonywać następujące działania: po komendzie z serwera potrafi przechwytywać przychodzące wiadomości SMS i wysyłać teksty na numery określone przez cyberprzestępców. Co więcej, Android.BankBot.65.origin może dodawać teksty do listy przychodzących wiadomości SMS. Używając tych metod, cyberprzestępcy potrafią wykradać pieniądze z kont bankowych użytkowników (wysyłając komendy SMS do przesłania pieniędzy z konta ofiary na konto cyberprzestępców, lub przechwytując wiadomości zawierające kody weryfikacyjne) i wdrażać inne nieuczciwe schematy działań. Na przykład, cyberprzestępcy potrafią umieścić specjalnie wygenerowaną wiadomość informującą użytkownika, że jego karta kredytowa została zablokowana z prośbą o kontakt telefoniczny z „bankiem” na podany numer, lub wiadomość z prośną o uzupełnienie konta telefonu komórkowego „krewnego, który wpadł w kłopoty”, albo inną wiadomość tego typu.

Analitycy bezpieczeństwa Doctor Web usilnie rekomendują posiadaczom urządzeń z systemem Android pobieranie aplikacji do bankowości online tylko z pewnych źródeł (przykładowo – Google Play lub oficjalne strony organizacji finansowych) i używanie Dr.Web dla Android lub Dr.Web dla Android Light do ochrony swoich urządzeń. Sygnatura Android.BankBot.65.origin została dodana do bazy wirusów Dr.Web, z tego powodu ten złośliwy program nie stanowi zagrożenia dla użytkowników Dr.Web.

źródło: Doctor Web

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]