Эксперты Fortinet предупреждают, недавно обнаруженный банковский троянец для Android обладает функционалом, который позволяет ему бороться с антивирусными приложениями, препятствуя их запуску.
Детектируемая как Android/Banker.GT!tr.spy, новая вредоносная программа предназначена для кражи банковской информации пользователей. Более того, авторы этого трояна могут контролировать список целевых приложений с помощью командного центра.
Вредонос маскируется под приложение электронной почты и даже отображает иконку в панели запуска. Как некоторые другие мобильные угрозы, этот троян использует всяческие уловки, чтобы заставить пользователя предоставить ему права администратора. Затем вредонос убирает иконку из панели запуска, продолжая при этом работать в фоновом режиме.
Вредоносная программа запрашивает следующие разрешения на телефоне: состояние телефона, чтение контактов, изменение настроек, прямые звонки, чтение/получение/отправка SMS-сообщений, изменение сетевого статуса. После установки трояна в фоновом режиме будут работать следующие три службы: GPService2, FDService и AdminRightsService.
Исследователи Fortinet , что служба GPService2 предназначена для того, чтобы контролировать все запущенные на устройстве процессы и также для того, чтобы атаковать вышеупомянутые банковские приложения, накладывая поверх их окна окно вредоносной программы, напоминающее легитимное приложение. У Android/Banker.GT!tr.spy имеются различные настроенные экраны входа под каждое банковское приложение.
Служба GPService2 также препятствует запуску мобильных антивирусных приложений и включает в себя функцию для обмена данными с сервером.
Компонент FDService контролирует все запущенные процессы на устройстве, однако также был разработан для атаки различных приложений социальных сетей. Также эта служба способна отображать поддельный экран якобы Google Play, чтобы заставить пользователя ввести данные кредитной карты.
AdminRightsService была разработана, чтобы запрашивать права администратора, когда вредоносная программа запускается в первый раз.
Троян связывается с командным центром по HTTPS, посылая туда такие данные как IMEI, код страны, версию Android, модель устройства и номер телефона. Также отсылается список установленных приложений.
Чтобы удалить вредонос пользователи сначала должны лишить его прав: Настройки -> Безопасность -> Администраторы устройства -> Деактивировать. Далее троян можно удалить с помощью ADB (Android Debug Bridge), используя команду ‘adb uninstall [packagename]’.
Разработчики Signal выпустили обновление 7.34.0 для Windows-версии мессенджера. Устранен баг режима Dark, реализована поддержка процессоров с архитектурой Arm64 — таких как Snapdragon X Plus и Elite от Qualcomm.
Отныне приложение для IM-связи будет работать шустрее и более гладко на таких десктопах, притом без эмулятора, — так же, как при запускек на устройствах Microsoft Surface на базе ARM.
Поддержку этой аппаратной платформы недавно получил ряд других популярных Windows-программ: Google Chrome, Telegram, браузер Vivaldi, Adobe Illustrator, Slack.
В 2020 году доля ноутбуков на ARM составляла немногим более 1%. По прогнозам аналитиков, к концу десятилетия этот показатель возрастет до 40%.
Укреплению положения ARM на рынке десктопов способствуют рост популярности сервисов на основе генеративного ИИ, в частности, Copilot (их производительность на ARM выше), а также проблемы, которые начали испытывать Intel и AMD.
Мессенджер Signal — бесплатный продукт с открытым исходным кодом, разработанный с упором на безопасность и приватность. С августа доступ к Signal в рунете ограничен «в связи с нарушением требований российского законодательства» (цитата по РБК).
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
