Банківський троян для Android маскується під програвач Flash і обходить аутентифікацію 2FA

Наші фахівці виявили нову шкідливу кампанію по поширенню банківського трояна для Android. Троян спеціалізується на компрометації користувачів великих банків в Австралії, Новій Зеландії та Туреччині за рахунок крадіжки облікових даних облікових записів двадцяти мобільних банківських додатків. Він виявляється нашими антивірусними продуктами Android/Spy.Agent.SI.



У список банків, на компрометацію користувачів яких розрахований троян, входять найбільші банки вищезазначених країн. Завдяки функції перехоплення SMS-повідомлень, шкідлива програма може обходити захисний механізм двофакторної аутентифікації. Сам додаток троян маскується під програвач Flash Player, причому використовує для цього такий же значок.

Троян був доступний для завантаження з декількох серверів, які були публічно зареєстровані в кінці січня і лютому 2016 р. Цікаво відзначити, що шляхи URL до шкідливим APK-файлів генеруються кожну годину, що відкладає можливість їх виявлення з боку антивірусних продуктів.


Рис. 1. Директорія з файлами шкідливої програми.


Рис. 2. Директорія з файлами шкідливої програми (нова посилання).

Як і в деяких інших випадках шкідливих програм для Android, цей банківський троян просить надати йому права адміністратора в системі в процесі своєї установки. Даний механізм самозахисту запобігає спроби видалення шкідливого ПО з пристрою. Після успішної установки в систему, шкідлива програма приховує від очей користувача значок програвача Flash Player, але сама продовжує працювати у фоновому режимі.

Далі, шкідлива програма взаємодіє зі своїм віддаленим C&C-сервером. Для приховування переданих даних від сторонніх очей бот і сервер використовують кодування base64. Шкідлива програма відправляє на сервер такі дані про пристрої як тип моделі, ідентифікатор IMEI, мову, версію SDK і інформацію про час активації прав адміністратора пристрою Android. Така інформація відправляється на сервер кожні 25 секунд роботи шкідливої програми. Потім троян збирає список встановлених на пристрої додатків (включаючи банківські програми) і відправляє цей список на віддалений сервер. Якщо бот налаштований на компрометацію додатків, C&C-сервер відправляє йому список з 49 різних додатків, на компрометацію яких розраховують зловмисники.

Троян виконує свої функції крадіжки даних онлайн банкінгу за рахунок створення спеціального вікна, яке перекриває вікно легітимного програми для роботи з банківським рахунком. Така фишинговая активність трояна схожа на діяльність вимагача, який блокує екран пристрою користувача без можливості його розблокувати. Після отримання введених користувачем даних, троян відправляє їх на віддалений сервер. Зловмисники зацікавлені в отриманні не лише облікових даних облікових записів онлайн-банкінгу, а також даних облікових записів Google.

Перші версії трояна виглядали досить просто, при цьому його справжні цілі можна було обчислити швидко. Більш пізні версії шкідливої програми отримали механізми обфускации і шифрування, що ускладнило їх аналіз.

Коли в Android запускається цікавить зловмисників додаток, шкідлива програма активізується і показує користувачеві підроблене вікно, яке накладається на вікно банківського додатка.


Рис. 3. Взаємодія шкідливої програми з керуючим C&C-сервером.

Після того, як користувач набере в поле фальшивого вікна логін і пароль від банківського аккаунта, фальшиве вікно трояна закривається, що призводить до появи вікна цього банківського додатка. Як вже згадувалося вище, вся листування між ботом і сервером інформація кодується base64, виняток становить тільки вкрадені облікові дані, які передаються відкритим текстом.


Рис. Троян пересилає вкрадені облікові дані відкритим текстом.

Шкідлива програма також може обходити двофакторну 2FA-аутентифікацію, відправляючи на віддалений сервер отримані пристроєм текстові SMS-повідомлення. Це дозволяє зловмисникам своєчасно перехоплювати всі повідомлення від банку і негайно видаляти їх на скомпрометованому пристрої для приховування від шкідливої активності користувача.

Видалення шкідливої програми

Коли користувач намагається видалити трояна з системи, можливі два різні сценарії. По-перше, користувач може заборонити права адміністратора для програми, а потім видалити фальшивий Flash Player з пристрою. Деактивація прав адміністратора для трояна може бути виконана двома способами. Найпростіший полягає у використанні вбудованої налаштування Android Настройки->Безпека->Адміністратори пристроїв->Flash Player->Deactivate, потім проігнорувати вікно, що з'явилося, трояна і натиснути ОК.


Рис. Відключення режиму адміністратора пристрої для трояна.

Після цього у користувача з'являється можливість видалити троян через Налаштування->Менеджер додатків->Flash Player->Видалити.

Процедура видалення може бути більш складною, якщо бот отримав від сервера команду заборонити деактивацію прав адміністратора на пристрої. У цьому випадку, як тільки користувач спробує деактивувати їх, шкідлива програма створить спеціальне перекриває вікно, яке не дозволить користувачеві підтвердити відключення прав.


Рис. Спеціальне вікно, яке не дозволяє користувачеві підтвердити відгук прав адміністратора.

Ще один спосіб безпечної деактивації прав адміністратора полягає у використанні в безпечному режимі (Safe Mode). При завантаженні в безпечному режимі, Android відключає завантаження сторонніх додатків. При цьому користувач може безпечно відключити їх, як у першому випадку. Антивірусні продукти ESET виявляють троян Android/Spy.Agent.SI.

Нижче представлені макети фальшивих вікон банківських додатків, які використовуються трояном.









Додаткова інформація

Виявлення ESET:

Android/Spy.Agent.SI.





Банки, на компрометацію яких націлений троян:

Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, National Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye Iş Bankası and Ziraat Bankası.







Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.