Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.BankBot.80.origin

Добавлен в вирусную базу Dr.Web: 2015-10-27

Описание добавлено:

  • dec7aec692fed8473f0fc3cab1b10726bf9ee107
  • 7c7536ed7a5ff60021398240c0799512fb8c52a4
  • 228963460817b4aaac27e2fcdfc121a20571b099 (детектируется записью Android.SmsBot.472.origin)

Троянская программа, работающая на мобильных устройствах под управлением ОС Android и предназначенная для кражи денег пользователей. Может распространяться под видом безобидных приложений, например, оригинального банковского клиентского ПО или программы для голосования в фотоконкурсе.

После запуска демонстрирует на экране стандартный системный запрос на доступ к функциям администратора мобильного устройства. При этом в случае отказа пользователя повторяет это действие до тех пор, пока не получит необходимые полномочия.

screen Android.BankBot.80.origin #drweb

Троянец сканирует адресную книгу владельца зараженного Android-смартфона или планшета и оправляет по всем найденным в ней телефонным номерам СМС-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». Указанная ссылка ведет на мошеннический веб-ресурс, при посещении которого на мобильные устройства потенциальных жертв автоматически загружается одна из модификаций троянца, детектируемая Антивирусом Dr.Web как Android.SmsBot.472.origin. Также на этом сайте предлагается скачать приложение для голосования в фотоконкурсе. Данная программа представляет собой не что иное, как очередную версию банкера Android.BankBot.80.origin.

screen Android.BankBot.80.origin #drweb

Одновременно с рассылкой СМС-сообщений троянец отправляет на управляющий сервер http://****bora.com/api/?id=3 POST-запрос, информирующий вирусописателей об успешном заражении Android-устройства. Данный запрос содержит следующую информацию:

  • method=install – тип запроса к серверу;
  • &id=FKLKJDFSWXXXXXXXXXXXXXXX – уникальный идентификатор зараженного устройства, где «FKLKJDFSW» - параметр, который содержится в ресурсах троянца, и «XXXXXXXXXXXXXXX» - номер IMEI;
  • &operator= – название мобильного оператора;
  • &model= – название модели устройства;
  • &os= – версия установленной ОС;
  • &phone= – номер телефона жертвы;
  • &imei= – IMEI-идентификатор;
  • &version= – номер версии троянца;
  • &country= – язык ОС.

После этого с заданной периодичностью Android.BankBot.80.origin соединяется с управляющим сервером и ожидает поступления одной из следующих команд:

  • call_number – включить переадресацию звонков на указанный номер;
  • sms_grab – установить временной интервал сокрытия входящих СМС – если сообщения поступают в заданный период, троянец блокирует соответствующие системные уведомления, а сами СМС удаляет;
  • sms_send – отправить СМС;
  • ussd – выполнить USSD-запрос;
  • delivery – выполнить рассылку СМС-сообщения с заданным текстом всем контактам из телефонной книги;
  • new_url – изменить адрес управляющего сервера;
  • install_true – записать изменение флага inst в конфигурационном файле (AppPrefs).

При поступлении пользователю входящего сообщения троянец передает информацию о нем на сервер. Если ранее был установлен временной интервал командой sms_grab, то владелец зараженного устройства не получит соответствующего уведомления о входящем СМС, и оно будет удалено.

При выполнении команды delivery Android.BankBot.80.origin активирует переадресацию входящих вызовов на номер +79009999999:

callforward(this.context, "*21*+79009999999#"),

В результате жертва лишается возможности принимать все адресованные ей звонки.

Данная вредоносная программа способна незаметно для пользователей похищать деньги со счетов их мобильных телефонов, банковских карт, а также счетов в платежных системах.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке