podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

BankBot, новая версия мобильного трояна

Свеженькое «произведение» вирусописателей — хороший повод ознакомиться с новыми технологиями и вспомнить об элементарных мерах безопасности. Несмотря на активные действия Google по предупреждению заражений, рецепт «Помоги себе сам» по-прежнему остаётся самым эффективным, но и внимательность спасает не каждый раз.

BankBot, новая версия мобильного трояна

Подробный «разбор полётов» можно почитать в блоге Avast (английский язык), на этот раз антивирусная лаборатория скооперировалась с ESET и SfyLabs для анализа трояна. В очередной раз зараженные приложения были доступны в Google Play Market и были загружены тысячами пользователей из многих стран, в том числе из России. Как видим, классическая мантра «Не загружайте приложения из посторонних источников? и всё будет хорошо!» работает не всегда. В Google постоянно совершенствуют контроль приложений перед их размещением в Google Play, однако мошенники всегда будут на несколько шагов впереди. Сперва «враги» находят лазейку и/или придумывают новый механизм, а уже потом в Google закрывают уязвимость. И так до следующего инцидента.

Среди перечислявшихся «затронутых» банков из работающих в России я видел только Citibank, но это не повод расслабляться. Во-первых, в обзоре Avast присутствует многообещающее «... и многие другие банки». Во-вторых, в трояно-списке потенциально уязвимых банковских приложений 160(!) наименований. В-третьих, это наверняка не последний банковский троян под Android, с которым мы можем столкнуться.

BankBot, новая версия мобильного трояна

Предыдущая версия трояна BankBot появилась в Google Play в обличьях «суперпрогрессивных» приложений категории «фонарик», «мягкий свет» и ещё что-то похожее. На следующем этапе появились несложные карточные игры и программы для очистки памяти смартфона от мусора. Не знаю, чем именно «фонарик» так привлекал и продолжает привлекать авторов троянов, но уже много лет это любимая оболочка для всякой дряни. Купите ужо себе коробок спичек или зажигалку, светодиод большинства смартфонов генерирует не намного больше света. Особенно если этот «фонарик» почему-то просит доступ к адресбуку, чтению/отправке СМС и т. п. Впрочем, сейчас это уже менее актуально, последние модели троянов при установке приложений ничего не просят и ничем особо не настораживают, всё это будет потом и в другом формате. И все официально заявленные в приложении функции работают, фонарик светит, как было обещано, карты тасуются.

Как это работает

Возможно, по совету друга (взломанный аккаунт соцсети?) загружаете с Google Play совершенно невинное с виду приложение, которое ничего такого-эдакого от вас не требует. Как уже написал, приложение малополезное, однако работает как заявлено и подозрений не вызывает. Далее троян сканирует установленный на смартфоне софт и сверяется со своим списком из 160 банковских приложений. Найдя одно или больше совпадений, инициирует работающий в фоновом режиме сервис и запускает процесс загрузки соответствующего приложения с сервера управления.

Запрашивает административные права, маскируясь под системное обновление или обновление Play Market, после получения разрешения выжидает два часа. В Avast пишут, что пауза необходима для обхода проверки Google. После загрузки приложения с управляющего сервера пытается его установить через стандартную процедуру установки приложений из посторонних источников. Оказывается, предыдущая версия этого банковского трояна умела получать разрешение в фоновом режиме без ведома пользователя через сервис Accessibility Service. В Google такую возможность для приложений заблокировали только осенью 2017 года. Это к вопросу о совете не загружать приложения из посторонних источников. Как выясняется, нас и не спрашивали. Теперь (пока?) троян спрашивает, но мы не знаем, найдётся ли очередная лазейка.

После установки приложения троян проверяет, установлено ли приложение на реальном устройстве или на эмуляторе системы, который используют антивирусные лаборатории. Запускается только на реальных устройствах.

При запуске банковского приложения троян подменяет стартовые страницы своими и считывает вводимые пользователем данные. Пишут, что подмена происходит за доли секунды и пользователь не успевает ничего заметить. Двухфакторная аутентификация тоже не спасает, троян умеет перехватывать, читать и отправлять SMS-сообщения.

Как уберечься

Традиционно Avast в своём блоге перечисляет меры предосторожности, которые следует соблюдать. Печально, что многие из перечисленных мер в этом случае не сработают. Чуть ли не единственный настораживающий индикатор — необычный для простого приложения набор прав и разрешений. И то, эти разрешения запрашивает не скачанный «фонарик», а как бы само «прилетевшее» обновление системы или Google Play Market. Ну, ещё требование разрешить установку приложений из посторонних источников. Однако если ещё совсем недавно это ограничение успешно обходили, то где гарантия того, что не найдут другую лазейку?

Не так уж давно к большинству заражений была применима формулировка «сам дурак», сейчас я уже не знаю. Почитал про этот BankBot и не вижу каких-то вопиющих небрежностей со стороны пользователя, особенно при заражениях предыдущей версией. Контроль приложений на стороне Play Market тоже не всегда спасает. Антивирус? Наверное, не помешает, последнюю «модель» BankBot антивирусы распознают. Однако мне недавно рассказали про трояна, который слал SMS на платные номера. Интересная особенность: на смартфоне с этим трояном не удалось запустить ни один антивирус, вряд ли совпадение.

Рекомендуют обращать внимание на внешний вид приложения и, углядев что-то необычное, не пользоваться. Надеяться на халтурное исполнение подмены или на то, что банк успел поменять дизайн своего софта? Банальный, но действенный совет — не лениться читать отзывы до загрузки. Даже если речь идёт о примитивной игре.

Дело идёт к тому, что желающим пользоваться банковским приложением придётся заводить отдельный смартфон, на который устанавливать только самые распространённые приложения, не пользоваться браузером, соцсетями и вообще не открывать ссылки. А также нигде не «светить» телефонный номер вставленной в этот смартфон симкарты. Очень уж хитроумные пошли вирусы. И повторюсь: мошенники всегда были и будут на шаг впереди тех, кто пытается нас уберечь. Кстати, в Avast пишут, что предыдущая версия этого трояна довольно продолжительное время не была распознана и оставалась доступна в Google Play Market. Несмотря на то, что вирусный функционал был встроен, а не загружался, как сейчас, отдельно после установки. Также заметьте, что в софт встроены механизмы, препятствующие его быстрому обнаружению. Если на вашем смартфоне нет одного из уязвимых банковских приложений, то троян даже не загрузит свои компоненты с сервера, он работает строго с целевой аудиторией.

На сегодняшний день защитой можно считать включение запрета установки приложений из сторонних источников. Наверное, можно считать, хотя эту защиту уже ломали. Данную конкретную уязвимость в Google закрыли, но была ли она единственной? В общем, здоровья вам и вашим смартфонам, хотя заботиться о профилактике становится сложнее с каждым годом.

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано — 27 ноября 2017 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 

Новости:
Hit

20.09.2018 Видео на канале: Блиц #25. Ошибки в чистом Android на примере Nokia 3.1 и AndroidOne

20.09.2018 Canon PowerShot SX70 HS – камера с несъемным объективом и мощным 65-кратным увеличением

20.09.2018 Билайн и Huawei протестировали LTE 900

20.09.2018 Xiaomi представила Mi 8 Pro и Mi 8 Lite

20.09.2018 Правительство хочет заставить предустанавливать российские антивирусы на все импортируемые компьютеры

20.09.2018 Samsung Galaxy A7 – южнокорейская новинка с тройной основной камерой

19.09.2018 HMD представит геймерский смартфон Nokia

19.09.2018 Samsung Galaxy S10: един в четырех лицах

19.09.2018 Meizu X8 - первый смартфон компании с «монобровью»

Hit

19.09.2018 Видео на канале: Обзор Sony Xperia XZ3

19.09.2018 MEIZU представила новый бюджетник – MEIZU M8

19.09.2018 MEIZU 16 – новый смартфон на новом чипсете от Qualcomm – Snapdragon 710

19.09.2018 Sony анонсировала PlayStation Classic с 20 предварительно установленными играми

19.09.2018 В России создадут отдельную сотовую сеть для чиновников и силовиков

19.09.2018 Samsung Galaxy J6+ и J4+ представлены официально

18.09.2018 Топовые производители ноутбуков нарастили продажи, но недостаточно

18.09.2018 Samsung закроет серию Galaxy J, а Galaxy On будет переименована

18.09.2018 Экран Nokia 7.1 Plus станет меньше

Hit

18.09.2018 Видео на канале: Обзор Sony Xperia XZ2 Premium

18.09.2018 ESET: пользователи медиаплеера Kodi заражены криптомайнером

18.09.2018 Видео от Huawei подтверждает квадратную компоновку камер в её новых смартфонах Mate 20

18.09.2018 Samsung готовится представить новые бюджетные смартфоны с боковым сканером отпечатков пальцев

18.09.2018 Samsung подозревают в координации цен на смартфоны

18.09.2018 Apple выпустила общедоступную iOS 12

18.09.2018 Названы самые популярные в России мессенджеры

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.