Укрaинскиe кибeрпoлицeйскиe oбнaружили нoвый врeдoнoсный бaнкoвский трoян с root-прaвaми, кoтoрый зaрaжaeт Android-смaртфoны. Нaпрaвлeн дaнный трoян нa житeлeй Укрaины, Бeлoруссии и других стран СНГ, и получает симпатия доступ к банковским счетам.
Следует отметить, что оный троян быстро распространяется и сейчас количество инфицированных устройств насчитывает сильнее 500 тысяч и по словам специалистов с каждым днем их величина увеличивается примерно на 30-40 тысяч, сообщили в киберполиции.
Троян распространяется, маскируясь подина различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram, али Subway Surf. Речь идет об их копии, которые распространяются путем неофициальные каталоги. В данном случае внедрен в легитимное приложение, шифр расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его, – говорится в сообщении киберполиции.
Засунутый файл скачивает с управляющего сервера основную часть вредоносного стих, который содержит ссылки на скачивание еще нескольких файлов — эксплоита в целях получения рута, новых версий вредителя и так далее. Объем ссылок может меняться в зависимости от планов злоумышленников, больше того, каждый загруженный файл может дополнительно загрузить с сервера, раскодировать и запустить новые компоненты. В результате на зараженное устройство загружаются отчасти модулей вредителя, количество и функциональность которых тоже зависят ото пожеланий хозяев ВПЗ.
В результате операторы малвари получают безвыездно необходимое для кражи денег жертвы «традиционными методами». В функциональность вредоносного приложения входят:
деятельность, кража, удаление SMS; запись, переправка, блокировка звонков; проверка баланса; хищение контактов; осуществления звонков; смена руководителя сервера; загрузка и запускание файлов; установление и удаление программ; блокировки устройства с показом веб-страницы, заданной сервером злоумышленников; компонование и передача злоумышленникам список файлов, содержащихся на устройстве; отправка, переименование любых файлов; перезагрузки телефона.
Же кроме скачивания «классических» модулей, данный троян загружает и понятный пакет эксплойтов для получения прав root, предоставляющая малвари прозелит вектор для атаки и уникальные возможности. Так, устанавливает Водан из загруженных модулей в системную папку, что затрудняет метаморфизм его деинсталляции, а с помощью прав суперпользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, иначе) будет то он установлен. Такие БД содержат информацию о сохранении логинов и паролей, историю посещений, файлы cookie и часом даже сохраненные данные банковских карт.
Следует пометить, что root-права также позволяют малвари похитить действительно любой файл в системе – от фотографий и документов к файлам с данными аккаунтов мобильных приложений.