Android-троянец крадет деньги и конфиденциальные данные пользователей

Александр Панасенко 26 Ноября 2014 - 15:03

Вредоносные программы

Трояны

Утечки информации

...

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы, сообщает news.drweb.ru.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют следующие мобильные приложения:

Google Play;
Google Play Music;
Gmail;
WhatsApp;
Viber;
Instagram;
Skype;
«ВКонтакте»;
«Одноклассники»;
Facebook;
Twitter.

В конечном итоге вся введенная жертвой информация передается троянцем на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

начать или остановить перехват входящих и исходящих СМС;
выполнить USSD-запрос;
внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
очистить список блокируемых номеров;
передать на сервер информацию об установленных на устройстве приложениях;
выполнить отправку СМС-сообщения;
передать на сервер идентификатор вредоносной программы;
отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать СМС-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность троянца вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 13 Ноября 2024 - 08:45

Windows Эксплойты Уязвимости программ Уязвимость нулевого дня Общее Microsoft

В ноябре Microsoft закрыла 91 уязвимость, две уже используются в атаках

Ноябрьский набор обновлений от Microsoft включает патчи для 91 уязвимости, из которых четыре получили статус 0-day, а две — уже используются в реальных кибератаках.

Четырём дырам из набора присвоили статус критических: две позволяют удалённо выполнить код, ещё две — повысить права в системе. По классам уязвимости распределились так:

26 проблем, приводящих к повышению привилегий;
2 возможности обхода защитных систем;
52 бреши, способные привести к удалённому выполнению кода;
одна возможность раскрытия информации;
4 — DoS;
3 — спуфинг.

Что касается четырёх уязвимостей нулевого дня, они полчили следующие идентификаторы и описания:

CVE-2024-43451 — спуфинг и раскрытие хеша NTLM. С помощью вредоносного файла и минимального взаимодействия с целевым пользователем атакующий может раскрыть NTLM-хеши и воспользоваться ими для аутентификации.
CVE-2024-49039 — проблема повышения привилегий, затрагивающая Планировщик заданий в Windows. Для эксплуатации может использоваться специально подготовленная программа.
CVE-2024-49040 — возможность спуфинга, присутствующая в Microsoft Exchange Server. Атакующий может подделать адрес отправителя в электронных письмах.
CVE-2024-49019 — позволяет злоумышленникам получить права администратора домена с помощью встроенной дефолтной версии шаблона сертификата.

Первые две уязвимости уже используются в атаках, так что патчи рекомендуется установить как можно быстрее. Общий список всех устранённых дыр выглядит так:

Наименование	CVE-идентификатор	CVE-название	Степень опасности
.NET and Visual Studio	CVE-2024-43499	.NET and Visual Studio Denial of Service Vulnerability	Важная
.NET and Visual Studio	CVE-2024-43498	.NET and Visual Studio Remote Code Execution Vulnerability	Критическая
Airlift.microsoft.com	CVE-2024-49056	Airlift.microsoft.com Elevation of Privilege Vulnerability	Критическая
Azure CycleCloud	CVE-2024-43602	Azure CycleCloud Remote Code Execution Vulnerability	Важная
LightGBM	CVE-2024-43598	LightGBM Remote Code Execution Vulnerability	Важная
Microsoft Defender for Endpoint	CVE-2024-5535	OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread	Важная
Microsoft Edge (Chromium-based)	CVE-2024-10826	Chromium: CVE-2024-10826 Use after free in Family Experiences	Неизвестно
Microsoft Edge (Chromium-based)	CVE-2024-10827	Chromium: CVE-2024-10827 Use after free in Serial	Неизвестно
Microsoft Exchange Server	CVE-2024-49040	Microsoft Exchange Server Spoofing Vulnerability	Важная
Microsoft Graphics Component	CVE-2024-49031	Microsoft Office Graphics Remote Code Execution Vulnerability	Важная
Microsoft Graphics Component	CVE-2024-49032	Microsoft Office Graphics Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2024-49029	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2024-49026	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2024-49027	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2024-49028	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office Excel	CVE-2024-49030	Microsoft Excel Remote Code Execution Vulnerability	Важная
Microsoft Office SharePoint	ADV240001	Microsoft SharePoint Server Defense in Depth Update	Отсутствует
Microsoft Office Word	CVE-2024-49033	Microsoft Word Security Feature Bypass Vulnerability	Важная
Microsoft PC Manager	CVE-2024-49051	Microsoft PC Manager Elevation of Privilege Vulnerability	Важная
Microsoft Virtual Hard Drive	CVE-2024-38264	Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability	Важная
Microsoft Windows DNS	CVE-2024-43450	Windows DNS Spoofing Vulnerability	Важная
Role: Windows Active Directory Certificate Services	CVE-2024-49019	Active Directory Certificate Services Elevation of Privilege Vulnerability	Важная
Role: Windows Hyper-V	CVE-2024-43633	Windows Hyper-V Denial of Service Vulnerability	Важная
Role: Windows Hyper-V	CVE-2024-43624	Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability	Важная
SQL Server	CVE-2024-48998	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-48997	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-48993	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49001	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49000	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-48999	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49043	Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-43462	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-48995	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-48994	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-38255	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-48996	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-43459	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49002	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49013	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49014	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49011	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49012	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49015	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49018	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49021	Microsoft SQL Server Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49016	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49017	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49010	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49005	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49007	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49003	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49004	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49006	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49009	SQL Server Native Client Remote Code Execution Vulnerability	Важная
SQL Server	CVE-2024-49008	SQL Server Native Client Remote Code Execution Vulnerability	Важная
TorchGeo	CVE-2024-49048	TorchGeo Remote Code Execution Vulnerability	Важная
Visual Studio	CVE-2024-49044	Visual Studio Elevation of Privilege Vulnerability	Важная
Visual Studio Code	CVE-2024-49050	Visual Studio Code Python Extension Remote Code Execution Vulnerability	Важная
Visual Studio Code	CVE-2024-49049	Visual Studio Code Remote Extension Elevation of Privilege Vulnerability	Средняя
Windows CSC Service	CVE-2024-43644	Windows Client-Side Caching Elevation of Privilege Vulnerability	Важная
Windows Defender Application Control (WDAC)	CVE-2024-43645	Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability	Важная
Windows DWM Core Library	CVE-2024-43636	Win32k Elevation of Privilege Vulnerability	Важная
Windows DWM Core Library	CVE-2024-43629	Windows DWM Core Library Elevation of Privilege Vulnerability	Важная
Windows Kerberos	CVE-2024-43639	Windows Kerberos Remote Code Execution Vulnerability	Критическая
Windows Kernel	CVE-2024-43630	Windows Kernel Elevation of Privilege Vulnerability	Важная
Windows NT OS Kernel	CVE-2024-43623	Windows NT OS Kernel Elevation of Privilege Vulnerability	Важная
Windows NTLM	CVE-2024-43451	NTLM Hash Disclosure Spoofing Vulnerability	Важная
Windows Package Library Manager	CVE-2024-38203	Windows Package Library Manager Information Disclosure Vulnerability	Важная
Windows Registry	CVE-2024-43641	Windows Registry Elevation of Privilege Vulnerability	Важная
Windows Registry	CVE-2024-43452	Windows Registry Elevation of Privilege Vulnerability	Важная
Windows Secure Kernel Mode	CVE-2024-43631	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Важная
Windows Secure Kernel Mode	CVE-2024-43646	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Важная
Windows Secure Kernel Mode	CVE-2024-43640	Windows Kernel-Mode Driver Elevation of Privilege Vulnerability	Важная
Windows SMB	CVE-2024-43642	Windows SMB Denial of Service Vulnerability	Важная
Windows SMBv3 Client/Server	CVE-2024-43447	Windows SMBv3 Server Remote Code Execution Vulnerability	Важная
Windows Task Scheduler	CVE-2024-49039	Windows Task Scheduler Elevation of Privilege Vulnerability	Важная
Windows Telephony Service	CVE-2024-43628	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows Telephony Service	CVE-2024-43621	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows Telephony Service	CVE-2024-43620	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows Telephony Service	CVE-2024-43627	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows Telephony Service	CVE-2024-43635	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows Telephony Service	CVE-2024-43622	Windows Telephony Service Remote Code Execution Vulnerability	Важная
Windows Telephony Service	CVE-2024-43626	Windows Telephony Service Elevation of Privilege Vulnerability	Важная
Windows Update Stack	CVE-2024-43530	Windows Update Stack Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2024-43643	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2024-43449	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2024-43637	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2024-43634	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows USB Video Driver	CVE-2024-43638	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Важная
Windows VMSwitch	CVE-2024-43625	Microsoft Windows VMSwitch Elevation of Privilege Vulnerability	Критическая
Windows Win32 Kernel Subsystem	CVE-2024-49046	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Важная

Android-троянец крадет деньги и конфиденциальные данные пользователей

Читайте также