Зловред Андроид.ZBot соединяет устройства в бот-сети
Разные версии банкера Андроид.ZBot штурмуют Android-смартфоны и микропланшеты отечественных клиентов с марта 2016 года. Этот троянец любопытен тем, что может воровать логины, пароли и другую секретную информацию с помощью представляемых поверху любых дополнений жульнических фигур ввода, внешний облик которых создается по команде киберпреступников. При этом сами формы «привязываются» к атакуемым платформам, формируя иллюзию того, что они истинные и принадлежат аналогичному ПО. Данные компании «Врач Интернет» продемонстрировали, что инфицированные Андроид.ZBot устройства соединяются в бот-сети, при этом количество заключительных на данный момент составляет не менее десятка.
Как и другие Android-троянцы, Андроид.ZBot.1.origin идет мошенниками маскируясь под безвредной платформы, которая закачивается на мобильные телефоны при посещении жульнических либо развороченных веб-сайтов, или грузится иным вредным ПО. После того как жертва установит и опустит банкер, тот заламывает у нее доступ к функциям администратора инфицированного телефона либо планшетника и в случае результата вводит на дисплей известие об погрешности, предлагая перезагрузить устройство.
Если клиент отказывается предложить троянцу нужные права, Андроид.ZBot.1.origin старается похитить у него доскональные данные о его кредитной карте, включая ее номер и период действия, многозначный код безопасности CVV, и имя обладателя. Для этого банкер демонстрирует жертве фальшивое окно, изображающее необычную фигуру ввода аналогичной информации настоящего дополнения. Интересно, что подобное окно троянец отражает и после принятия требуемых функций администратора, но только через определенное время после установки на целевом устройстве.
Дальше Андроид.ZBot.1.origin устраняет собственный знак с дисплея дополнений, запрятываясь от клиента, и начинает контролировать системные мероприятия, сопряженные с загрузкой ОС. Этим самым троянец гарантирует себе автоматический старт при любом подключении зараженного устройства. Как только вредная платформа приобретает регулирование, она вяжется с удаленным узлом, расписывает на нем инфицированный телефон либо планшетник и ждет будущих предписаний мошенников. Исходя из приобретенной директивы компьютера банкер осуществляет следующие действия: посылает СМС с данным текстом на отмеченный номер, делает мобильный звонок, посылает СМС по всем телефонным номерам из книжки контактов, перехватывает входящие СМС, приобретает нынешние GPS-координаты, демонстрирует специально сформированное интерактивное окно поверху данного дополнения.
Часть вредного перечня возможностей Андроид.ZBot.1.origin выполнена вирусописателями в качестве автономной Linux-библиотеки под названием libandroid-v7-support.so, которая находится внутри компьютерного пакета троянца. Это гарантирует банкеру защиту от детектирования антивирусами и дает возможность ему продолжительнее располагаться на инфицированных приборах необнаруженным.
Но одна из основных отличительных черт Андроид.ZBot.1.origin состоит в его возможности воровать логины и пароли для доступа к сервисам мобильного банкинга с помощью фальшивых фигур ввода, генерируемых по предписанию правящего компьютера. Сначала троянец приобретает от мошенников команду, имеющую наименование целевого дополнения, затем с некоторой периодичностью начинает проверять, запущена ли клиентом аналогичная платформа. Как только нужная платформа начинает работу, банкер с помощью функции WebView создает особую веб-форму, содержание которой грузит с удаленного участка.
Например, киберпреступники могут задать объем демонстрируемого окна, его внешний облик, включая заголовок и сопровождающий документ, число полей для ввода данных, сопутствующие картинки. При этом изображаемая на дисплей конфигурация «привязывается» к атакуемому дополнению: если вероятная жертва фишинга предпримет попытку освободиться от продемонстрированного известия и прийти к окну уникальной платформы с помощью аппаратной клавиши «Назад», Андроид.ZBot.1.origin перенаправит клиента на основной дисплей ОС, закрыв само дополнение. В итоге у обладателя инфицированного мобильного телефона может уложиться ощущение, что увиденный им раньше запрос в реальности принадлежит аналогичной платформе, и ему все же нужно ввести нужную информацию. Как только троянец приобретает от жертвы ее логин и пароль, эти данные грузятся на удаленный участок, затем мошенники обретают общий контроль над учетными записями мобильного банкинга клиентов и могут распоряжаться их счетами.
В настоящее время известно о нескольких версиях вредного дополнения Андроид.ZBot.1.origin, которое киберпреступники используют в основном против отечественных клиентов.