BankBot, новая версия мобильного трояна

Свеженькое «произведение» вирусописателей — хороший повод ознакомиться с новыми технологиями и вспомнить об элементарных мерах безопасности. Несмотря на активные действия Google по предупреждению заражений, рецепт «Помоги себе сам» по-прежнему остаётся самым эффективным, но и внимательность спасает не каждый раз.

BankBot, новая версия мобильного трояна

Подробный «разбор полётов» можно почитать в блоге Avast (английский язык), на этот раз антивирусная лаборатория скооперировалась с ESET и SfyLabs для анализа трояна. В очередной раз зараженные приложения были доступны в Google Play Market и были загружены тысячами пользователей из многих стран, в том числе из России. Как видим, классическая мантра «Не загружайте приложения из посторонних источников? и всё будет хорошо!» работает не всегда. В Google постоянно совершенствуют контроль приложений перед их размещением в Google Play, однако мошенники всегда будут на несколько шагов впереди. Сперва «враги» находят лазейку и/или придумывают новый механизм, а уже потом в Google закрывают уязвимость. И так до следующего инцидента.

Среди перечислявшихся «затронутых» банков из работающих в России я видел только Citibank, но это не повод расслабляться. Во-первых, в обзоре Avast присутствует многообещающее «... и многие другие банки». Во-вторых, в трояно-списке потенциально уязвимых банковских приложений 160(!) наименований. В-третьих, это наверняка не последний банковский троян под Android, с которым мы можем столкнуться.

BankBot, новая версия мобильного трояна

Предыдущая версия трояна BankBot появилась в Google Play в обличьях «суперпрогрессивных» приложений категории «фонарик», «мягкий свет» и ещё что-то похожее. На следующем этапе появились несложные карточные игры и программы для очистки памяти смартфона от мусора. Не знаю, чем именно «фонарик» так привлекал и продолжает привлекать авторов троянов, но уже много лет это любимая оболочка для всякой дряни. Купите ужо себе коробок спичек или зажигалку, светодиод большинства смартфонов генерирует не намного больше света. Особенно если этот «фонарик» почему-то просит доступ к адресбуку, чтению/отправке СМС и т. п. Впрочем, сейчас это уже менее актуально, последние модели троянов при установке приложений ничего не просят и ничем особо не настораживают, всё это будет потом и в другом формате. И все официально заявленные в приложении функции работают, фонарик светит, как было обещано, карты тасуются.

Как это работает

Возможно, по совету друга (взломанный аккаунт соцсети?) загружаете с Google Play совершенно невинное с виду приложение, которое ничего такого-эдакого от вас не требует. Как уже написал, приложение малополезное, однако работает как заявлено и подозрений не вызывает. Далее троян сканирует установленный на смартфоне софт и сверяется со своим списком из 160 банковских приложений. Найдя одно или больше совпадений, инициирует работающий в фоновом режиме сервис и запускает процесс загрузки соответствующего приложения с сервера управления.

Запрашивает административные права, маскируясь под системное обновление или обновление Play Market, после получения разрешения выжидает два часа. В Avast пишут, что пауза необходима для обхода проверки Google. После загрузки приложения с управляющего сервера пытается его установить через стандартную процедуру установки приложений из посторонних источников. Оказывается, предыдущая версия этого банковского трояна умела получать разрешение в фоновом режиме без ведома пользователя через сервис Accessibility Service. В Google такую возможность для приложений заблокировали только осенью 2017 года. Это к вопросу о совете не загружать приложения из посторонних источников. Как выясняется, нас и не спрашивали. Теперь (пока?) троян спрашивает, но мы не знаем, найдётся ли очередная лазейка.

После установки приложения троян проверяет, установлено ли приложение на реальном устройстве или на эмуляторе системы, который используют антивирусные лаборатории. Запускается только на реальных устройствах.

При запуске банковского приложения троян подменяет стартовые страницы своими и считывает вводимые пользователем данные. Пишут, что подмена происходит за доли секунды и пользователь не успевает ничего заметить. Двухфакторная аутентификация тоже не спасает, троян умеет перехватывать, читать и отправлять SMS-сообщения.

Как уберечься

Традиционно Avast в своём блоге перечисляет меры предосторожности, которые следует соблюдать. Печально, что многие из перечисленных мер в этом случае не сработают. Чуть ли не единственный настораживающий индикатор — необычный для простого приложения набор прав и разрешений. И то, эти разрешения запрашивает не скачанный «фонарик», а как бы само «прилетевшее» обновление системы или Google Play Market. Ну, ещё требование разрешить установку приложений из посторонних источников. Однако если ещё совсем недавно это ограничение успешно обходили, то где гарантия того, что не найдут другую лазейку?

Не так уж давно к большинству заражений была применима формулировка «сам дурак», сейчас я уже не знаю. Почитал про этот BankBot и не вижу каких-то вопиющих небрежностей со стороны пользователя, особенно при заражениях предыдущей версией. Контроль приложений на стороне Play Market тоже не всегда спасает. Антивирус? Наверное, не помешает, последнюю «модель» BankBot антивирусы распознают. Однако мне недавно рассказали про трояна, который слал SMS на платные номера. Интересная особенность: на смартфоне с этим трояном не удалось запустить ни один антивирус, вряд ли совпадение.

Рекомендуют обращать внимание на внешний вид приложения и, углядев что-то необычное, не пользоваться. Надеяться на халтурное исполнение подмены или на то, что банк успел поменять дизайн своего софта? Банальный, но действенный совет — не лениться читать отзывы до загрузки. Даже если речь идёт о примитивной игре.

Дело идёт к тому, что желающим пользоваться банковским приложением придётся заводить отдельный смартфон, на который устанавливать только самые распространённые приложения, не пользоваться браузером, соцсетями и вообще не открывать ссылки. А также нигде не «светить» телефонный номер вставленной в этот смартфон симкарты. Очень уж хитроумные пошли вирусы. И повторюсь: мошенники всегда были и будут на шаг впереди тех, кто пытается нас уберечь. Кстати, в Avast пишут, что предыдущая версия этого трояна довольно продолжительное время не была распознана и оставалась доступна в Google Play Market. Несмотря на то, что вирусный функционал был встроен, а не загружался, как сейчас, отдельно после установки. Также заметьте, что в софт встроены механизмы, препятствующие его быстрому обнаружению. Если на вашем смартфоне нет одного из уязвимых банковских приложений, то троян даже не загрузит свои компоненты с сервера, он работает строго с целевой аудиторией.

На сегодняшний день защитой можно считать включение запрета установки приложений из сторонних источников. Наверное, можно считать, хотя эту защиту уже ломали. Данную конкретную уязвимость в Google закрыли, но была ли она единственной? В общем, здоровья вам и вашим смартфонам, хотя заботиться о профилактике становится сложнее с каждым годом.

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано — 27 ноября 2017 г.

Поделиться

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 

Новости:

13.05.2021 MediaTek представила предфлагманский чипсет Dimensity 900 5G

13.05.2021 Cайты, имеющие 500 тысяч пользователей из России, должны будут открыть местные филиалы

13.05.2021 Amazon представила обновления своих умных дисплеев Echo Show 8 и Echo Show 5

13.05.2021 МТС ввел удобный тариф без абонентской платы - «МТС Нон-стоп»

13.05.2021 Zenfone 8 Flip – вариант Galaxy A80 от ASUS

13.05.2021 Поставки мониторов в этом году достигнут 150 млн

13.05.2021 Состоялся анонс модной версии «умных» часов Samsung Galaxy Watch3 TOUS

13.05.2021 Tele2 выходит на Яндекс.Маркет

13.05.2021 OPPO представила чехол для смартфона, позволяющий управлять устройствами умного дома

13.05.2021 TWS-наушники с активным шумоподавлением Xiaomi FlipBuds Pro

13.05.2021 В России до конца следующего года появится госстандарт для искусственного интеллекта

13.05.2021 ASUS Zenfone 8 – компактный флагман на Snapdragon 888

12.05.2021 Компания Genesis представила внешность своего первого универсала G70 Shooting Brake

12.05.2021 В России разработан высокоточный гироскоп для беспилотников

12.05.2021 В Россию привезли новую версию смарт-часов HUAWEI WATCH FIT, Elegant Edition

12.05.2021 Раскрыты ключевые особенности смартфона POCO M3 Pro 5G

12.05.2021 Honor 50: стали известны дизайн и другие подробности о смартфоне

12.05.2021 Чипсет Exynos 2200 от Samsung будет устанавливаться и в смартфоны, и в ноутбуки

12.05.2021 МТС начала подключать многоквартирные дома к интернету вещей

12.05.2021 iPhone 13 будет толще и получит более крупные камеры по сравнению с iPhone 12

12.05.2021 Xiaomi договорилась с властями США об исключении из чёрного списка

12.05.2021 Xiaomi выпустила обновлённую версию умного пульта Agara Cube T1 Pro

Hit

12.05.2021 Игровые ноутбуки с NVIDIA GeForce RTX 3050 Ti уже в России!

12.05.2021 Индийский завод Foxconn сократил производство в два раза

12.05.2021 Lenovo отказалась от очного участия в предстоящем в июне Mobile World Congress

Подписка
 
© Mobile-review.com, 2002-2021. All rights reserved.