● Архив 
Android.BankBot.35.origin — язык программирования неизвестен.
Android.BankBot.35.origin — Trojan.
Android.BankBot.35.origin - банковская троянская программа, направленная на южнокорейских пользователей Android-устройств. Вредонос пытается заменить настоящие приложения такие, как "банк-клиент" их поддельными копиями, способна по команде злоумышленников отправлять и блокировать СМС-сообщения, красть конфиденциальную информацию, а также загружать дополнительные модули, расширяющие ее функционал.
Распространяется Android.BankBot.35.origin в составе другой вредоносной программы Android.MulDrop.46.origin, которая представляет собой дроппера и может быть загружена пользователями под видом различных приложений. Для справки, Android.MulDrop.46.origin в настоящее время выдается киберпреступниками за популярный веб-браузер, однако выбор образа для маскировки этой вредоносной программы ограничивается лишь фантазией вирусописателей.
После установки на Android-смартфон или планшет, Android.MulDrop.46.origin может быть инициализирован как самим владельцем мобильного устройства (при нажатии на созданный троянцем ярлык), так и автоматически – при очередной разблокировке экрана или загрузке операционной системы. Если же он был запущен пользователем, то вредоносная программа запрашивает у него доступ к функциям администратора мобильного устройства, после чего удаляет свой ярлык. В дальнейшем троянская программа функционирует в качестве системного сервиса и становится "невидимым" для владельца мобильного устройства.
После успешной инициализации, дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл трояна Android.BankBot.35.origin, который загружается в оперативную память при помощи класса DexClassLoader. Данный класс позволяет Android-приложениям (в данном случае – дропперу Android.MulDrop.46.origin) без участия пользователя и предварительной установки запускать дополнительные программные модули. После того, как Android.BankBot.35.origin получит права, он переходит в ждущий режим и периодически проверяет наличие на инфицированном устройстве ряда приложений типа "банк-клиент", который принадлежит нескольким южнокорейским кредитным организациям. И если одна из этих программ обнаруживается, то троян загружает с удаленного узла соответствующее ей приложение-имитацию. После этого он пытается установить его вместо оригинала. Для этих целей Android.BankBot.35.origin демонстрирует на экране зараженного устройства сообщение, уведомлявшее пользователя о необходимости выполнить инсталляцию якобы новой версии банковского клиента. При согласии пользователя на установку этого "обновления", троян инициализирует стандартный системный процесс удаления настоящего приложения, а затем приступает к инсталляции подделки.
Каждое из загружаемых Android.BankBot.35.origin поддельных банковских приложений представляет собой модификацию трояна Android.Banker.46.origin. Эта вредоносная программа, в свою очередь, позволяет киберпреступникам получить доступ к управлению банковскими счетами южнокорейских пользователей. Понятно, что это может привести к незапланированным финансовым операциям и даже потере всех их денежных средств.
Для того, чтобы похитить всю необходимую конфиденциальную информацию, Android.Banker.46.origin имитирует интерфейс настоящих приложений типа "банк-клиент". Также, как и оригинал, вредоносное приложение запрашивает у своих жертв
логин и пароль от учетной записи онлайн-банкинга;
номер счета и банковской карты;
сведения об используемом цифровом сертификате, обеспечивающим безопасные
транзакции;
другие секретные сведения.
Кроме прочего, Android.BankBot.35.origin по команде с управляющего сервера может:
отправлять СМС-сообщение с заданным текстом на указанный номер;
включать или выключать передатчик Wi-Fi;
загружать на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера);
загружать с удаленного узла и запускать заданный злоумышленниками dex-файл.
Для запуска загруженного dex-файла троян задействует соответствующий функционал дроппера Android.MulDrop.46.origin, используемый для инициализации самого Android.BankBot.35.origin. Таким образом, данная вредоносная программа реализует модульную архитектуру и, в зависимости от потребностей вирусописателей, способна значительно расширить свои возможности.
Кроме кражи сведений о контактах пользователя, троян также может передавать на управляющий сервер и другую конфиденциальную информацию, такую, как
номер телефона жертвы;
название модели инфицированного мобильного устройства;
сведения о версии операционной системы;
типе используемой мобильной и Wi-Fi-сети и некоторые другие данные.
Кроме этого, Android.BankBot.35.origin способен перехватывать и удалять СМС-сообщения, которые поступают с определенных номеров, информация о которых хранятся в черном списке трояна.
Интересен данный троян тем, что он может фиксировать на зараженном смартфоне или планшете запуск популярного южнокорейского антивируса. Далее Android.BankBot.35.origin блокирует его инициализацию и возвращает пользователя к главному экрану операционной системы. Аналогичная блокировка распространяется и на стандартный системный менеджер приложений, а также функцию управления администраторами устройства. Поэтому, если защита трояна активирована, пользователи зараженных смартфонов и планшетов фактически лишаются возможности управлять всеми установленными программами. Не срабатывает подобный защитный механизм в случае, если в системе все еще присутствует хотя бы один из оригинальных банковских клиентов, которые вредоносная программа не успела заменить, либо если троян не получил доступ к функциям администратора мобильного устройства.
Android.BankBot.35.origin — Trojan.
Android.BankBot.35.origin - банковская троянская программа, направленная на южнокорейских пользователей Android-устройств. Вредонос пытается заменить настоящие приложения такие, как "банк-клиент" их поддельными копиями, способна по команде злоумышленников отправлять и блокировать СМС-сообщения, красть конфиденциальную информацию, а также загружать дополнительные модули, расширяющие ее функционал.
Распространяется Android.BankBot.35.origin в составе другой вредоносной программы Android.MulDrop.46.origin, которая представляет собой дроппера и может быть загружена пользователями под видом различных приложений. Для справки, Android.MulDrop.46.origin в настоящее время выдается киберпреступниками за популярный веб-браузер, однако выбор образа для маскировки этой вредоносной программы ограничивается лишь фантазией вирусописателей.
После установки на Android-смартфон или планшет, Android.MulDrop.46.origin может быть инициализирован как самим владельцем мобильного устройства (при нажатии на созданный троянцем ярлык), так и автоматически – при очередной разблокировке экрана или загрузке операционной системы. Если же он был запущен пользователем, то вредоносная программа запрашивает у него доступ к функциям администратора мобильного устройства, после чего удаляет свой ярлык. В дальнейшем троянская программа функционирует в качестве системного сервиса и становится "невидимым" для владельца мобильного устройства.
После успешной инициализации, дроппер извлекает хранящийся в его ресурсах исполняемый dex-файл трояна Android.BankBot.35.origin, который загружается в оперативную память при помощи класса DexClassLoader. Данный класс позволяет Android-приложениям (в данном случае – дропперу Android.MulDrop.46.origin) без участия пользователя и предварительной установки запускать дополнительные программные модули. После того, как Android.BankBot.35.origin получит права, он переходит в ждущий режим и периодически проверяет наличие на инфицированном устройстве ряда приложений типа "банк-клиент", который принадлежит нескольким южнокорейским кредитным организациям. И если одна из этих программ обнаруживается, то троян загружает с удаленного узла соответствующее ей приложение-имитацию. После этого он пытается установить его вместо оригинала. Для этих целей Android.BankBot.35.origin демонстрирует на экране зараженного устройства сообщение, уведомлявшее пользователя о необходимости выполнить инсталляцию якобы новой версии банковского клиента. При согласии пользователя на установку этого "обновления", троян инициализирует стандартный системный процесс удаления настоящего приложения, а затем приступает к инсталляции подделки.
Каждое из загружаемых Android.BankBot.35.origin поддельных банковских приложений представляет собой модификацию трояна Android.Banker.46.origin. Эта вредоносная программа, в свою очередь, позволяет киберпреступникам получить доступ к управлению банковскими счетами южнокорейских пользователей. Понятно, что это может привести к незапланированным финансовым операциям и даже потере всех их денежных средств.
Для того, чтобы похитить всю необходимую конфиденциальную информацию, Android.Banker.46.origin имитирует интерфейс настоящих приложений типа "банк-клиент". Также, как и оригинал, вредоносное приложение запрашивает у своих жертв
логин и пароль от учетной записи онлайн-банкинга;
номер счета и банковской карты;
сведения об используемом цифровом сертификате, обеспечивающим безопасные
транзакции;
другие секретные сведения.
Кроме прочего, Android.BankBot.35.origin по команде с управляющего сервера может:
отправлять СМС-сообщение с заданным текстом на указанный номер;
включать или выключать передатчик Wi-Fi;
загружать на сервер данные из телефонной книги (в том числе сохраненные на SIM-карте телефонные номера);
загружать с удаленного узла и запускать заданный злоумышленниками dex-файл.
Для запуска загруженного dex-файла троян задействует соответствующий функционал дроппера Android.MulDrop.46.origin, используемый для инициализации самого Android.BankBot.35.origin. Таким образом, данная вредоносная программа реализует модульную архитектуру и, в зависимости от потребностей вирусописателей, способна значительно расширить свои возможности.
Кроме кражи сведений о контактах пользователя, троян также может передавать на управляющий сервер и другую конфиденциальную информацию, такую, как
номер телефона жертвы;
название модели инфицированного мобильного устройства;
сведения о версии операционной системы;
типе используемой мобильной и Wi-Fi-сети и некоторые другие данные.
Кроме этого, Android.BankBot.35.origin способен перехватывать и удалять СМС-сообщения, которые поступают с определенных номеров, информация о которых хранятся в черном списке трояна.
Интересен данный троян тем, что он может фиксировать на зараженном смартфоне или планшете запуск популярного южнокорейского антивируса. Далее Android.BankBot.35.origin блокирует его инициализацию и возвращает пользователя к главному экрану операционной системы. Аналогичная блокировка распространяется и на стандартный системный менеджер приложений, а также функцию управления администраторами устройства. Поэтому, если защита трояна активирована, пользователи зараженных смартфонов и планшетов фактически лишаются возможности управлять всеми установленными программами. Не срабатывает подобный защитный механизм в случае, если в системе все еще присутствует хотя бы один из оригинальных банковских клиентов, которые вредоносная программа не успела заменить, либо если троян не получил доступ к функциям администратора мобильного устройства.
0 
0 
0  |  |  |
Для добавления комментариев необходимо авторизоваться
● Архив 
Санта-Барбара
Построй самый большой и красивый мегаполис!
