Банковский троянец Android.ZBot использует «веб-инжекты» для кражи конфиденциальных данных. Архив новостей за 15 декабря 2015 года

Крадущие деньги с банковских счетов троянцы в настоящее время представляют серьезную угрозу для владельцев мобильных устройств под управлением ОС Android. Одним из таких вредоносных приложений является банкер Android.ZBot, различные модификации которого атакуют смартфоны и планшеты российских пользователей с февраля текущего года. Данный троянец интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО.

Примечательно, что часть вредоносного функционала реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.

Одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Сами вирусописатели часто позиционируют такие вредоносные функции в качестве веб-инжектов, однако они таковыми не являются, т. к. из-за ограничений ОС Android троянцы не могут встроить посторонний HTML-код в экранные формы атакуемых программ.

При изучении банкера вирусные аналитики «Доктор Веб» выяснили, что все его известные варианты контролируются киберпреступниками через различные управляющие серверы, адрес каждого из которых хранится в специальной базе данных конкретной версии вредоносного приложения. В результате зараженные различными модификациями Android.ZBot.1.origin мобильные устройства «общаются» только со своими удаленными узлами и образуют самостоятельные бот-сети. В общей сложности специалисты «Доктор Веб» зафиксировали более 20 управляющих серверов троянца, при этом как минимум 15 из них по-прежнему продолжают свою работу. В настоящий момент вирусным аналитикам удалось получить доступ к трем подсетям ботнета Android.ZBot.1.origin. Каждая из них состоит из десятков и даже тысяч инфицированных устройств и насчитывает от 140 до более чем 2300 зараженных смартфонов и планшетов.

Наличие большого числа активных подсетей Android.ZBot.1.origin может говорить о том, что этот банковский троянец представляет собой коммерческий продукт и реализуется вирусописателями через подпольные хакерские площадки, где его приобретают злоумышленники-одиночки или организованные группы киберпреступников. В пользу этого говорит и тот факт, что панель администрирования для бот-сетей, построенных на основе зараженных Android.ZBot.1.origin мобильных устройств, имеет ограниченную лицензию и фактически используется как услуга по подписке. Нельзя исключать и того, что сетевые мошенники не ограничатся атаками на российских пользователей и в скором времени расширят географию применения вредоносного приложения на другие страны, включая Европу и США.

Динамика детектирования вредоносной программы Android.ZBot на Android-смартфонах и планшетах за прошедшие десять месяцев

Подробности здесь.

Dr. WEB

Архив новостей

2007

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2008

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2009

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2010

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2011

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2012

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2013

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2014

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2015

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2016

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь

2017

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

ноябрь

декабрь

2018

январь

февраль

март

апрель

май

июнь

июль

август

сентябрь

октябрь

ноябрь

декабрь