0 |
Вирусные аналитики «Доктор Веб» исследовали многофункционального банковского троянца Android.BankBot.211.origin, который вынуждает пользователей предоставить ему доступ к специальным возможностям (Accessibility Service). С их помощью вредоносная программа управляет мобильными устройствами и крадет конфиденциальную информацию клиентов кредитно-финансовых организаций. В самом начале наблюдения троянец атаковал только жителей Турции, однако вскоре список его целей расширился, и теперь он угрожает пользователям десятков стран.
Android.BankBot.211.origin распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После того как пользователь устанавливает и запускает троянца, банкер пытается получить доступ к специальным возможностям (Accessibility Service). Для этого Android.BankBot.211.origin показывает окно с запросом, которое при каждом его закрытии появляется вновь и не дает работать с устройством.
Android.BankBot.211.origin добавляется в список администраторов устройства, устанавливает себя менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.
После успешного заражения троянец подключается к управляющему серверу, регистрирует на нем мобильное устройство и ожидает дальнейших команд. Android.BankBot.211.origin способен отправлять СМС с заданным текстом на указанный в команде номер; передавать на сервер сведения об СМС, которые хранятся в памяти устройства; загружать на сервер информацию об установленных приложениях, список контактов и сведения о телефонных вызовах; открывать заданную в команде ссылку; изменять адрес командного центра.
Кроме того, вредоносная программа отслеживает все входящие СМС и также передает их киберпреступникам.
Троянец способен похищать логины, пароли и другую аутентификационную информацию, которую пользователь вводит в любых программах и на любых сайтах при авторизации. Для кражи паролей троянец делает скриншот при каждом нажатии клавиатуры, в результате чего он получает необходимую последовательность символов до того, как они будут скрыты. После этого информация, которая указывается в видимых полях, и все сохраненные скриншоты передаются на управляющий сервер.
Так как Android.BankBot.211.origin препятствует собственному удалению, для борьбы с ним необходимо выполнить следующие действия:
-
загрузить зараженный смартфон или планшет в безопасном режиме;
-
зайти в системные настройки и перейти к списку администраторов устройства;
-
найти троянца в этом списке и отозвать у него соответствующие права (при этом вредоносная программа попытается напугать владельца устройства, предупредив о неизбежной потере всех важных данных, однако это лишь уловка, и никакой опасности для файлов нет);
-
перезагрузить устройство, выполнить его полное сканирование антивирусом и удалить троянца после окончания проверки.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |