Новая версия вредоноса BianLian — киберпреступники модифицировали троян, оснастив его дополнительными возможностями атаки на банковские приложения. Эксперты компании Fortinet подробно исследовали новый экземпляр зловреда.
По словам специалистов, BianLian теперь может записывать экран Android-устройства, что помогает киберпреступникам выкрасть учетные данные пользователей онлайн-банкинга.
В процессе установки BianLian пытается получить разрешение на использование функций для людей с ограниченными возможностями (Accessibility Services). Как только пользователь предоставит ему доступ, начнется фаза атаки.
Любые окна финансовых приложений вредоносная программа может записывать, используя скринкаст-модуль, для чего BianLian требуются отдельные права в системе Android. Таким образом, весь процесс ввода имени пользователя, пароля, а также данных платежных карт записывается и передается в руки злоумышленников.
Ранее BianLian выполнял функцию дроппера для другого вредоноса — Anubis. Его изначальные характеристики позволяют обходить детектирование различными защитными механизмами. Например, BianLian может проникнуть в Google Play.
Согласно отчету Fortinet, так выглядит список атакуемых банковских приложений:
- com.akbank.android.apps.akbank_direkt
- com.albarakaapp
- com.binance.dev
- com.btcturk
- com.denizbank.mobildeniz
- com.finansbank.mobile.cepsube
- com.garanti.cepsubesi
- com.ingbanktr.ingmobil
- com.kuveytturk.mobil
- com.magiclick.odeabank
- com.mobillium.papara
- com.pozitron.iscep
- com.teb
- com.thanksmister.bitcoin.localtrader
- com.tmobtech.halkbank
- com.vakifbank.mobile
- com.ykb.android
- com.ziraat.ziraatmobil
- finansbank.enpara
- tr.com.hsbc.hsbcturkey
- tr.com.sekerbilisim.mbank
