Новый Android-вирус угрожает счетам клиентов российских банков

20 ноября 2014 года

Компания Dr.Web, занимающаяся разработкой антивирусного ПО, сообщила о появлении Android-вируса, который атакует мобильные устройства клиентов нескольких российских банков и похищает деньги с их счетов.

Обнаруженный экспертами троян получил название Android.BankBot.33.origin. Вирус представляет собой бота, распространяемого под видом обычных приложений и способного выполнять различные команды злоумышленников.

Если неосторожный пользователь установит и запустит трояна, то вредоносная программа попытается получить права администратора мобильного устройства, настойчиво демонстрируя соответствующее системное уведомление и фактически не оставляя пользователю выбора. После успешного получения администраторских прав Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке либо отобразить интерфейс приложения, под прикрытием которого и распространялся вирус. В обоих случаях бот также удаляет созданный ранее ярлык.

Затем программа устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве, включая IMEI-идентификатор, номер телефона, версию установленной ОС, марку и модель устройства и т.д.

В ответ сервер отправляет боту список команд, которые тот должен исполнить. Например, Android.BankBot.33.origin может занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя или пересылаться на управляющий сервер, отправить SMS-сообщение, скопировать и переслать список контактов, а также открыть в браузере заданную страницу. Кроме того, вирус может предпринять попытку установить на устройство новое приложение или удалить установленное ранее, но для этого ему необходимо будет получить согласие пользователя.

Как отмечают эксперты, главная опасность этого вредоносного приложения заключается в том, что оно способно функционировать в качестве банковского трояна и выполнять незаконные операции с денежными средствами владельцев Android-устройств. Вирус пытается получить информацию о текущем балансе банковского счета либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого он отправляет соответствующий SMS-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем.

Если вирус получит ответ, то при помощи специально сформированных SMS-команд он попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, поскольку Android.BankBot.33.origin будет перехватывать все уведомления о совершенных операциях.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя при помощи замены настоящего банковского сайта на фальшивую страницу. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

Как и во всех подобных случаях, специалисты рекомендуют не устанавливать приложения из сомнительных источников и использовать антивирусные программы, чтобы избежать заражения.

Напомним, что некоторое время назад эксперты сообщали о появлении другого Android-вируса, который маскировался под приложение "Сбербанка".