Android-троянец крадет деньги и конфиденциальные данные пользователей

Android-троянец крадет деньги и конфиденциальные данные пользователей

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца, предназначенного для заражения смартфонов и планшетов под управлением ОС Android. Данная вредоносная программа, внесенная в вирусную базу под именем Android.BankBot.34.origin, способна красть персональную информацию владельцев мобильных устройств, а также похищать денежные средства с банковских счетов и счетов мобильных телефонов своих жертв.

Начать свою вредоносную деятельность Android.BankBot.34.origin может только после установки в систему самим владельцем мобильного устройства. Поэтому с целью увеличения вероятности инсталляции и запуска троянца потенциальными жертвами авторы Android.BankBot.34.origin распространяют его под видом системного обновления и снабжают ярлыком одной из популярных программ. Стоит отметить, что выбор приложения для имитации всецело зависит от фантазии вирусописателей и может быть абсолютно любым. После установки троянец размещает свой ярлык на главном экране, при этом он может соседствовать рядом с ярлыком оригинальной программы, если она уже присутствует в системе. Таким образом, неопытные пользователи могут спутать приложения и случайно запустить троянца вместо настоящего ПО. Если же владелец зараженного мобильного устройства не активирует вредоносное приложение после его установки самостоятельно, запуск троянца все равно произойдет, т. к. в Android.BankBot.34.origin предусмотрена автоматическая загрузка при каждом включении операционной системы, сообщает news.drweb.ru.

Вслед за своей инициализацией Android.BankBot.34.origin запрашивает у жертвы доступ к функциям администратора мобильного устройства, которые в некоторой степени позволяют вредоносному приложению затруднить его деинсталляцию. Кроме того, троянец удаляет созданный им ранее ярлык в случае если запуск Android.BankBot.34.origin производился самим владельцем смартфона или планшета. После этого троянец приступает непосредственно к вредоносной деятельности.

Фактически, Android.BankBot.34.origin способен реализовать на зараженном Android-устройстве два сценария атаки. Первый сценарий напрямую зависит от поведения самого пользователя и задействуется, когда тот пытается запустить одно из интересующих злоумышленников приложений. Если владелец инфицированного троянцем смартфона или планшета запустит подобную программу, Android.BankBot.34.origin отобразит поверх ее интерфейса фишинговое диалоговое окно с полями для ввода конфиденциальной информации – логина и пароля, номера телефона или сведений о кредитной карте. При этом для каждого из этих приложений троянец весьма правдоподобно имитирует соответствующую форму запроса, что говорит о желании вирусописателей вызвать как можно меньше подозрений у своих жертв. Подобным образом киберпреступники атакуют следующие мобильные приложения:

  • Google Play;
  • Google Play Music;
  • Gmail;
  • WhatsApp;
  • Viber;
  • Instagram;
  • Skype;
  • «ВКонтакте»;
  • «Одноклассники»;
  • Facebook;
  • Twitter.

В конечном итоге вся введенная жертвой информация передается троянцем на управляющий сервер.

Реализация второго сценария атаки, напротив, не зависит от совершаемых пользователем действий и происходит только в соответствии с указаниями злоумышленников, поступающими от удаленного узла. В частности, по команде с управляющего сервера Android.BankBot.34.origin может исполнить следующие операции:

  • начать или остановить перехват входящих и исходящих СМС;
  • выполнить USSD-запрос;
  • внести в черный список определенный номер, сообщения с которого будут скрываться от пользователя (по умолчанию в списке содержатся сервисные номера ряда телефонных операторов, системы мобильного банкинга известного российского банка, а также популярной платежной платформы);
  • очистить список блокируемых номеров;
  • передать на сервер информацию об установленных на устройстве приложениях;
  • выполнить отправку СМС-сообщения;
  • передать на сервер идентификатор вредоносной программы;
  • отобразить на экране диалоговое окно или сообщение в соответствии с полученными с управляющего сервера параметрами (например, в команде может задаваться текст, предназначенный для демонстрации на экране, количество полей для ввода данных и т. п.).

Примечательно, что адрес основного управляющего сервера Android.BankBot.34.origin расположен в анонимной сети Tor, а соединение по соответствующему защищенному протоколу обеспечивается за счет использования в троянце кода официального клиента для подключения к сетевым ресурсам с псевдодоменом .onion. Подобный прием обеспечивает авторам вредоносных приложений высокую степень защищенности и все чаще начинает встречаться в Android-троянцах.

Благодаря тому, что Android.BankBot.34.origin способен незаметно для владельца зараженного мобильного устройства отправлять и перехватывать СМС-сообщения, киберпреступники могут использовать эту вредоносную программу в качестве банковского троянца для похищения денежных средств со счетов своих жертв при помощи управляющих СМС-команд мобильного банкинга. Аналогичным образом злоумышленники могут похитить деньги с мобильного счета пользователей, воспользовавшись USSD-командами и переведя определенную сумму на свой телефонный номер. При этом список атакуемых мобильных операторов и кредитных организаций практически никак не ограничен и всецело зависит от текущих потребностей создателей вредоносной программы. В частности, наибольшему риску подвержены клиенты тех банков и платежных систем, которые предлагают услугу управления счетом посредством СМС-сообщений, а также абоненты операторов мобильной связи, предоставляющих функцию мобильного перевода со счетов телефонов.

Более того, способность троянца вывести на экран мобильного устройства любое сообщение или диалоговое окно произвольной формы и содержания открывает перед киберпреступниками практически неограниченные возможности по совершению самых разнообразных атак. Например, похитив у пользователя аутентификационные данные для доступа к учетной записи одной из социальных сетей, злоумышленники могут изменить пароль доступа к ней и отдать вредоносной программе команду на демонстрацию сообщения вида «Ваша учетная запись заблокирована, для разблокировки выполните денежный перевод на номер 1234». Также создатели Android.BankBot.34.origin могут «приказать» троянцу от имени банка вывести на экран запрос ввода пароля для доступа к учетной записи онлайн-банкинга жертвы и получить контроль над всеми ее счетами. Таким образом, реализуемый этой вредоносной программой функционал представляет весьма серьезную опасность для владельцев мобильных Android-устройств.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В ноябре Microsoft закрыла 91 уязвимость, две уже используются в атаках

Ноябрьский набор обновлений от Microsoft включает патчи для 91 уязвимости, из которых четыре получили статус 0-day, а две — уже используются в реальных кибератаках.

Четырём дырам из набора присвоили статус критических: две позволяют удалённо выполнить код, ещё две — повысить права в системе. По классам уязвимости распределились так:

  • 26 проблем, приводящих к повышению привилегий;
  • 2 возможности обхода защитных систем;
  • 52 бреши, способные привести к удалённому выполнению кода;
  • одна возможность раскрытия информации;
  • 4 — DoS;
  • 3 — спуфинг.

Что касается четырёх уязвимостей нулевого дня, они полчили следующие идентификаторы и описания:

  • CVE-2024-43451 — спуфинг и раскрытие хеша NTLM. С помощью вредоносного файла и минимального взаимодействия с целевым пользователем атакующий может раскрыть NTLM-хеши и воспользоваться ими для аутентификации.
  • CVE-2024-49039 — проблема повышения привилегий, затрагивающая Планировщик заданий в Windows. Для эксплуатации может использоваться специально подготовленная программа.
  • CVE-2024-49040 — возможность спуфинга, присутствующая в Microsoft Exchange Server. Атакующий может подделать адрес отправителя в электронных письмах.
  • CVE-2024-49019 — позволяет злоумышленникам получить права администратора домена с помощью встроенной дефолтной версии шаблона сертификата.

Первые две уязвимости уже используются в атаках, так что патчи рекомендуется установить как можно быстрее. Общий список всех устранённых дыр выглядит так:

Наименование CVE-идентификатор CVE-название Степень опасности
.NET and Visual Studio CVE-2024-43499 .NET and Visual Studio Denial of Service Vulnerability Важная
.NET and Visual Studio CVE-2024-43498 .NET and Visual Studio Remote Code Execution Vulnerability Критическая
Airlift.microsoft.com CVE-2024-49056 Airlift.microsoft.com Elevation of Privilege Vulnerability Критическая
Azure CycleCloud CVE-2024-43602 Azure CycleCloud Remote Code Execution Vulnerability Важная
LightGBM CVE-2024-43598 LightGBM Remote Code Execution Vulnerability Важная
Microsoft Defender for Endpoint CVE-2024-5535 OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread Важная
Microsoft Edge (Chromium-based) CVE-2024-10826 Chromium: CVE-2024-10826 Use after free in Family Experiences Неизвестно
Microsoft Edge (Chromium-based) CVE-2024-10827 Chromium: CVE-2024-10827 Use after free in Serial Неизвестно
Microsoft Exchange Server CVE-2024-49040 Microsoft Exchange Server Spoofing Vulnerability Важная
Microsoft Graphics Component CVE-2024-49031 Microsoft Office Graphics Remote Code Execution Vulnerability Важная
Microsoft Graphics Component CVE-2024-49032 Microsoft Office Graphics Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49029 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49026 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49027 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49028 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49030 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office SharePoint ADV240001 Microsoft SharePoint Server Defense in Depth Update Отсутствует
Microsoft Office Word CVE-2024-49033 Microsoft Word Security Feature Bypass Vulnerability Важная
Microsoft PC Manager CVE-2024-49051 Microsoft PC Manager Elevation of Privilege Vulnerability Важная
Microsoft Virtual Hard Drive CVE-2024-38264 Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability Важная
Microsoft Windows DNS CVE-2024-43450 Windows DNS Spoofing Vulnerability Важная
Role: Windows Active Directory Certificate Services CVE-2024-49019 Active Directory Certificate Services Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2024-43633 Windows Hyper-V Denial of Service Vulnerability Важная
Role: Windows Hyper-V CVE-2024-43624 Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability Важная
SQL Server CVE-2024-48998 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48997 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48993 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49001 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49000 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48999 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49043 Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-43462 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48995 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48994 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-38255 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48996 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-43459 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49002 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49013 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49014 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49011 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49012 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49015 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49018 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49021 Microsoft SQL Server Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49016 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49017 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49010 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49005 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49007 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49003 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49004 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49006 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49009 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49008 SQL Server Native Client Remote Code Execution Vulnerability Важная
TorchGeo CVE-2024-49048 TorchGeo Remote Code Execution Vulnerability Важная
Visual Studio CVE-2024-49044 Visual Studio Elevation of Privilege Vulnerability Важная
Visual Studio Code CVE-2024-49050 Visual Studio Code Python Extension Remote Code Execution Vulnerability Важная
Visual Studio Code CVE-2024-49049 Visual Studio Code Remote Extension Elevation of Privilege Vulnerability Средняя
Windows CSC Service CVE-2024-43644 Windows Client-Side Caching Elevation of Privilege Vulnerability Важная
Windows Defender Application Control (WDAC) CVE-2024-43645 Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability Важная
Windows DWM Core Library CVE-2024-43636 Win32k Elevation of Privilege Vulnerability Важная
Windows DWM Core Library CVE-2024-43629 Windows DWM Core Library Elevation of Privilege Vulnerability Важная
Windows Kerberos CVE-2024-43639 Windows Kerberos Remote Code Execution Vulnerability Критическая
Windows Kernel CVE-2024-43630 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows NT OS Kernel CVE-2024-43623 Windows NT OS Kernel Elevation of Privilege Vulnerability Важная
Windows NTLM CVE-2024-43451 NTLM Hash Disclosure Spoofing Vulnerability Важная
Windows Package Library Manager CVE-2024-38203 Windows Package Library Manager Information Disclosure Vulnerability Важная
Windows Registry CVE-2024-43641 Windows Registry Elevation of Privilege Vulnerability Важная
Windows Registry CVE-2024-43452 Windows Registry Elevation of Privilege Vulnerability Важная
Windows Secure Kernel Mode CVE-2024-43631 Windows Secure Kernel Mode Elevation of Privilege Vulnerability Важная
Windows Secure Kernel Mode CVE-2024-43646 Windows Secure Kernel Mode Elevation of Privilege Vulnerability Важная
Windows Secure Kernel Mode CVE-2024-43640 Windows Kernel-Mode Driver Elevation of Privilege Vulnerability Важная
Windows SMB CVE-2024-43642 Windows SMB Denial of Service Vulnerability Важная
Windows SMBv3 Client/Server CVE-2024-43447 Windows SMBv3 Server Remote Code Execution Vulnerability Важная
Windows Task Scheduler CVE-2024-49039 Windows Task Scheduler Elevation of Privilege Vulnerability Важная
Windows Telephony Service CVE-2024-43628 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43621 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43620 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43627 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43635 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43622 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43626 Windows Telephony Service Elevation of Privilege Vulnerability Важная
Windows Update Stack CVE-2024-43530 Windows Update Stack Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43643 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43449 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43637 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43634 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43638 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows VMSwitch CVE-2024-43625 Microsoft Windows VMSwitch Elevation of Privilege Vulnerability Критическая
Windows Win32 Kernel Subsystem CVE-2024-49046 Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability Важная
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru