Все обнаруженные образцы Android.BankBot.Coper, исследованные нашими вирусными аналитиками, распространялись под видом официального ПО кредитной организации Bancolombia ― приложения Bancolombia Personas. Для большей убедительности их значок был оформлен в том же стиле, что и у настоящих программ банка. Для сравнения, ниже приведен пример значка подделки (слева) и пример значков настоящих приложений Bancolombia (справа), доступных для загрузки в Google Play:
Сам процесс заражения происходит в несколько этапов. Первой ступенью является установка той самой программы-приманки, которую злоумышленники выдают за банковское приложение. Фактически, это дроппер, основная задача которого ― доставить и установить на целевое устройство скрытый внутри него главный вредоносный модуль. Поскольку логика работы у исследованных модификаций троянов практически одинакова, дальнейшее описание механизма их функционирования будет основано на примере Android.BankBot.Coper.1.
При запуске дроппер расшифровывает и запускает исполняемый dex-файл (Android.BankBot.Coper.2.origin), который расположен в его ресурсах и замаскирован под веб-документ с именем o.htm. Этому троянскому компоненту отводится роль второй ступени заражения. Одной из его задач является получение доступа к специальным возможностям (Accessibility Services) ОС Android, с помощью которых троян сможет полностью контролировать зараженное устройство и имитировать действия пользователя (например, нажимать на кнопки меню и закрывать окна). Для этого он запрашивает у жертвы соответствующее разрешение. Успешно получив необходимые полномочия, все дальнейшие вредоносные действия троян выполняет уже самостоятельно. Так, он пытается отключить встроенную в операционную систему защиту Google Play Protect, разрешить установку приложений из неизвестных источников, установить и запустить основной вредоносный модуль и тоже предоставить ему доступ к специальным возможностям.
Троян расшифровывает и при помощи полученных привилегий устанавливает вредоносный apk-пакет (Android.BankBot.Coper.2), скрытый во втором зашифрованном файле и замаскированный под аудио-композицию с именем PViwFtl2r3.mp3. В нем находится троянский модуль Android.BankBot.Coper.1.origin, выполняющий основные вредоносные действия, необходимые злоумышленникам. Этот компонент устанавливается под видом системного приложения с именем Cache plugin, использующего стандартный для некоторых системных Android-программ значок шестеренки. Такие имя и значок увеличивают вероятность того, что пользователи не увидят в программе угрозу.
При запуске модуль получает доступ к ряду важных функций. Так, троян запрашивает разрешение на чтение и управление уведомлениями и добавление его в список исключений системной оптимизации аккумулятора, что позволит ему работать постоянно. Кроме того, троян становится администратором устройства, а также получает доступ к управлению телефонными звонками и СМС-сообщениями.
Кроме того, троян перехватывает и отправляет на сервер содержимое всех Push-уведомлений, поступающих на устройство.
Для демонстрации фишингового окна Android.BankBot.Coper.1.origin использует уже ставший классическим для мобильных банковских троянов метод. Содержимое такого окна загружается с удаленного сервера и помещается в WebView, который имитирует внешний вид целевой программы для обмана жертвы.
Трояны Android.BankBot.Coper обладают целым рядом защитных механизмов. Один из них ― контроль целостности основного вредоносного компонента. Если он будет удален, банкеры попытаются установить его вновь.
Второй прием ― отслеживание потенциально опасных для троянов событий, таких как:Если банкеры фиксируют какое-либо из этих событий, они через функции специальных возможностей Android имитируют нажатие кнопки «Домой», возвращая жертву на главный экран. Если же трояны обнаруживают, что пользователь пытается их удалить, они имитируют нажатие кнопки «Назад». Тем самым они не только препятствуют своему удалению, но и мешают владельцам полноценно использовать собственные устройства.
Кроме того, в дропперах троянов Android.BankBot.Coper предусмотрены и другие механизмы защиты. Например, они проверяют, не запущены ли в виртуальной среде, а также контролируют наличие активной SIM-карты и страну пребывания пользователя. Если проверка заканчивается неудачей, банкеры немедленно завершают свою работу. Можно предположить, что цель таких проверок ― не допустить установку основного вредоносного модуля в неблагоприятных для троянов условиях (например, под контролем специалистов по информационной безопасности или на устройства пользователей из нецелевых стран) и тем самым избежать преждевременного обнаружения. В исследованных образцах такая проверка не задействуется, но она может быть использована в будущих модификациях вредоносных приложений.
Компания «Доктор Веб» рекомендует владельцам Android-устройств устанавливать банковские приложения только из официальных каталогов ПО или загружать их с официальных сайтов кредитных организаций, если по какой-либо причине использование официального магазина приложений невозможно.
Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации банковских троянов Android.BankBot.Coper, поэтому для наших пользователей они опасности не представляют.
Индикаторы компрометацииМатериал подготовлен: Доктор Веб
«Р7-Офис» представляет собой значительно более мощный инструмент для организаций разного масштаба
Мошенники активно эксплуатируют доверчивость пользователей, уязвимости дешевых устройств и анонимность криптовалют. Осведомленность и базовые меры безопасности помогут избежать потерь
В ходе кампании сотрудники компаний получают фишинговые письма, маскирующиеся под официальные рассылки государственных министерств.
XXI век – эпоха цифровизации. Практически все сферы жизни, от личного общения до государственных операций, перешли в онлайн. Но вместе с удобствами появились и новые угрозы: кибератаки, утечки данных, финансовые махинации
МойОфис представил масштабное обновление версии 3.3 для настольных, мобильных и веб-редакторов документов. В новом релизе значительно расширены возможности анализа данных: улучшена работа со сводными таблицами, внедрены функции фильтрации и сортировки, а также создания и настройки диаграмм. Эти обновления повышают эффективность работы с данными в продуктах МойОфис и помогают пользователям принимать обоснованные решения
Компания «Увеон – облачные технологии» (входит в «Группу Астра») представила контроллер доставки приложений Termidesk Connect — решение для балансировки нагрузки, повышения отказоустойчивости и масштабирования ИТ-сервисов. Продукт полностью заменяет зарубежные аналоги, такие как Citrix и F5 и располагает современными инструментами для управления высоконагруженными инфраструктурами даже при стремительном росте числа пользователей.
Эксперты компании «Киберпротект» и деловой социальной сети TenChat провели исследование среди пользователей, посвящённое безопасности пожилых людей в интернете. Аналитики выяснили, как часто люди в возрасте 60+ лет сталкиваются с онлайн- угрозами, как они и их родственники противодействуют им, а также, какие риски наиболее актуальны для них
Итоги работы Content AI в 2024 году: финансовый рост, важные проекты, интенсивная разработка продуктов, плодотворная работа с партнерами и изменения в структуре собственности компании.Генеральный директор Content AI Светлана Дергачева поделилась наиболее значимыми событиями прошедшего года и планами на 2025 год, рассказала о трендах, влиянии ИИ на отрасль и о дальнейшем его применении во флагманских продуктах компании
Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны
Ваши контактные данные не публикуются на сайте.