Укрaинскиe кибeрпoлицeйскиe oбнaружили нoвый врeдoнoсный бaнкoвский трoян с root-прaвaми, кoтoрый зaрaжaeт Android-смaртфoны. Направлен сунутый троян на жителей Украины, Белоруссии и других стран СНГ, и получает симпатия доступ к банковским счетам.
Следует отметить, что определённый троян быстро распространяется и сейчас количество инфицированных устройств насчитывает больше 500 тысяч и по словам специалистов с каждым днем их численность увеличивается примерно на 30-40 тысяч, сообщили в киберполиции.
Троян распространяется, маскируясь почти различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram, иль Subway Surf. Речь идет об их копии, которые распространяются посредством неофициальные каталоги. В данном случае внедрен в легитимное приложение, адрес расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его, – говорится в сообщении киберполиции.
Пущенный файл скачивает с управляющего сервера основную часть вредоносного заключение, который содержит ссылки на скачивание еще нескольких файлов — эксплоита с целью получения рута, новых версий вредителя и так далее. Добыча ссылок может меняться в зависимости от планов злоумышленников, побольше того, каждый загруженный файл может дополнительно загрузить с сервера, декодировать. Ant. закодировать и запустить новые компоненты. В результате на зараженное устройство загружаются малость модулей вредителя, количество и функциональность которых тоже зависят ото пожеланий хозяев ВПЗ.
В результате операторы малвари получают кончено необходимое для кражи денег жертвы «традиционными методами». В функциональность вредоносного приложения входят:
функция, кража, удаление SMS; запись, переправка, блокировка звонков; проверка баланса; конокрадство контактов; осуществления звонков; смена руководителя сервера; загрузка и запускание файлов; установление и удаление программ; блокировки устройства с показом веб-страницы, заданной сервером злоумышленников; сочинение и передача злоумышленникам список файлов, содержащихся на устройстве; отправка, переименование любых файлов; перезагрузки телефона.
Так кроме скачивания «классических» модулей, данный троян загружает и мировой пакет эксплойтов для получения прав root, предоставляющая малвари с молоточка вектор для атаки и уникальные возможности. Так, устанавливает Водан из загруженных модулей в системную папку, что затрудняет разработка его деинсталляции, а с помощью прав суперпользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если только он установлен. Такие БД содержат информацию о сохранении логинов и паролей, историю посещений, файлы cookie и другой) раз даже сохраненные данные банковских карт.
Следует обозначить, что root-права также позволяют малвари похитить в конечном итоге любой файл в системе – от фотографий и документов к файлам с данными аккаунтов мобильных приложений.