Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.BankBot.35.origin

Добавлен в вирусную базу Dr.Web: 2015-03-18

Описание добавлено:

Android-троянец, атакующий южнокорейских пользователей. Предназначен для удаления ряда банковских приложений и замены их поддельными версиями, а также для выполнения поступающих от злоумышленников команд. Представляет собой исполняемый dex-файл для операционной системы Android (Dalvik executable). Запускается при помощи дроппера Android.MulDrop.46.origin, который может распространяться злоумышленниками под видом легального ПО.

Связь с управляющим сервером и выполнение команд злоумышленников

С целью определения IP-адреса управляющего сервера Android.BankBot.35.origin выполняет соединение со следующими удаленными узлами:

http://[xxx].[xxx].85.17:5245/dns.asp?name=sdk[xxx].vi[xx].co
http://m.[xxx]ne.com/profile?hostuin=[xxxxxx]1716
http://[xxx].[xxx].85.17:5245/dns.asp?name=xiao[xx].ie[xx].net.

После установки связи с сервером Android.BankBot.35.origin отправляет на него следующую информацию (используется формат JSON):

  • тип мобильной сети;
  • тип активного подключения к Интернету (мобильный интернет или Wi-Fi);
  • уровень сигнала Wi-Fi;
  • сведения о наличии SIM-карты;
  • телефонный номер пользователя;
  • уровень заряда аккумулятора;
  • IMEI-идентификатор устройства;
  • версия троянца;
  • уникальный идентификатор троянца;
  • информация, запрашиваемая по команде.

В ответ вредоносная программа получает список управляющих команд (также в формате JSON). Получив указания от киберпреступников, Android.BankBot.35.origin может выполнить следующие действия:

  • отправить СМС-сообщение с заданным текстом на указанный номер;
  • включить или выключить передатчик Wi-Fi;
  • загрузить на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера);
  • загрузить с удаленного узла и запустить заданный злоумышленниками dex-файл.

Замена легитимных версий банковских клиентов

Каждые 90 секунд троянец проверяет, установлено ли на зараженном мобильном устройстве одно из следующих банковских приложений, принадлежащих южнокорейским кредитным организациям:

  • com.wooribank.pib.smart;
  • com.kbstar.kbbank;
  • com.ibk.neobanking;
  • com.sc.danb.scbankapp;
  • com.shinhan.sbanking;
  • com.hanabank.ebk.channel.android.hananbank;
  • nh.smart;
  • com.epost.psf.sdsi;
  • com.kftc.kjbsmb;
  • com.smg.spbs.

Если одно из них будет найдено, Android.BankBot.35.origin соединяется с управляющим сервером и загружает с него соответствующую поддельную версию:

http://[xxx].[xxx].245.166:6545/ *pk_name*.apk, где *pk_name*.apk – имя вредоносной копии банковской программы. Таким образом троянец может загрузить следующие приложения (детектируются как Android.MulDrop.46.origin):

  • com.cash.apc.woori.kr.android.apd;
  • com.kr.androids.kbstar.kbbankings.app;
  • com.ibk.korea.kr.androids.ibkbanking;
  • com.goog.sc.android.dadbdkr.scbankapp;
  • com.android.google.shinhanbbk.kr.app;
  • com.hana.google.kr.channel.korea.app;
  • com.we.google.nhb.kr.bk.app;
  • com.android.post.fsps.kr.wu.sdsi;
  • com.kr.android.ftkc.kjb.kjbsmb.app;
  • com.androids.kr.kf.androids.sm.spb

После загрузки необходимого программного пакета Android.BankBot.35.origin демонстрирует на экране сообщение с призывом установить якобы новую версию банковского клиента:

screen

С согласия пользователя троянец выполняет деинсталляцию настоящей программы и устанавливает вместо нее поддельную версию.

Запуск дополнительных компонентов

Загруженные троянцем дополнительные dex-файлы запускаются на исполнение при помощи дроппера Android.MulDrop.46.origin. Для этого задействуется аналогичный метод, применяемый при инициализации самого Android.BankBot.35.origin (используется класс DexClassLoader, поэтому пользователь не участвует в данном процессе).

Блокировка СМС-сообщений

Android.BankBot.35.origin способен блокировать и перехватывать СМС-сообщения, поступающие с определенных телефонных номеров. Информация о соответствующих номерах располагается в черном списке вредоносного приложения.

Самозащита

Android.BankBot.35.origin обладает функцией самозащиты. Каждые 2 секунды (для модификации троянца, детектируемой как Android.BankBot.36.origin – 0,2 секунды) вредоносная программа проверяет, активно ли окно следующих приложений:

  • com.estsoft.alyac.ui (популярный южнокорейский антивирус);
  • packageinstaller.UninstallerActivity (системная утилита управления приложениями);
  • *.DeviceAdminAdd (интерфейс управления администраторами мобильного устройства).

Если хотя бы одно из них начинает работу, Android.BankBot.35.origin возвращает пользователя на главный экран операционной системы:

if(v3 != 0 || v4 != 0 || v5 != 0) {
     Intent v2 = new Intent("android.intent.action.MAIN");
     v2.addCategory("android.intent.category.HOME");
     v2.addFlags(268435456);
     this.this$1.this$0.service.startActivity(v2);

Данная самозащита не задействуется в случае если пользователь все еще не предоставил троянцу права администратора мобильного устройства, а также если в системе по-прежнему установлено хотя бы одно легитимное банковское приложение, которое Android.BankBot.35.origin не успел подменить.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке