Новий банківський троян може викрасти будь-який файл з Android-смартфона, маскуючись під ВКонтакте та Одноклассники

Базиленко Анна · 16 Січня 2017

Новий банківський троян може викрасти будь-який файл з Android-смартфона, маскуючись під ВКонтакте та Одноклассники

Новий банківський троян може викрасти будь який файл з Android смартфона, маскуючись під ВКонтакте та Одноклассники

Українські кіберполіцейські виявили новий шкідливий банківський троян з root-правами, який заражає Android-смартфони. Спрямований даний троян на мешканців України, Білорусії та інших країн СНД. У Департаменті кіберполіції звітують про 500 тис. інфікованих пристроїв, при цьому щодня кількість заражених пристроїв збільшується на 30-40 тис.

За інформацією відомства, троян маскується під різні популярні додатки, наприклад, ВКонтакте, «ДругВокруг», Одноклассники, Pokemon GO, Telegram або Subway Surf.

«Мова йде про їхні копії, які поширюються через неофіційні каталоги. Впроваджений в легітимний додаток код розшифровує файл, доданий зловмисниками в ресурси програми, і запускає його. Потім запущений файл викачує з керуючого сервера основну частину шкідливого коду, який містить посилання на скачування ще декількох файлів – експлоїта для отримання рута, нових версій шкідника і так далі», – пояснюють в кіберполіції.

До функціоналу трояну входять: відправлення/крадіжка/видалення SMS, запис/переадресація/блокування дзвінків, перевірка балансу, крадіжка контактів, здійснення дзвінків, зміна керівника сервера, завантаження і запуск файлів, встановлення і видалення програм, блокування пристрою з показом веб-сторінки, заданої сервером зловмисників, складання і передача зловмисникам списку файлів, які містяться на пристрої, відправка/перейменування будь-яких файлів, перезавантаження телефону.

Кожен завантажений файл може додатково завантажити з сервера, розшифрувати і запустити нові компоненти. В результаті на заражений пристрій завантажуються кілька модулів шкідника.

Троян також завантажує і популярний пакет експлойтів для отримання прав root: встановлює один з завантажених модулів в системну папку, що ускладнює процес його деінсталяції, а за допомогою прав користувача оператори шкідливого ПЗ викрадають бази даних дефолтного браузера Android і браузера Google Chrome (якщо такий встановлений). Такі бази даних містять інформацію про збереженні логіни і паролі, історію відвідувань, файли cookie, іноді – збережені дані банківських карт. Root-права також дозволяють викрасти практично будь-який файл в системі – від фотографій і документів до файлів з даними екаунтів мобільних додатків.

Як відомо, у 2015 році кібершахраї вкрали з рахунків українців 95 млн грн. Щодня жертвами кіберзлочинців стають в середньому 100 українців.