В декабре вирусная база Dr.Web пополнилась новыми записями для разнообразных вредоносных приложений, среди которых были как очередные банковские троянцы, так и троянцы, помещенные злоумышленниками непосредственно в образ прошивки операционной системы ряда Android-устройств.
В декабре вирусная база Dr.Web пополнилась новыми записями для разнообразных вредоносных приложений, среди которых были как очередные банковские троянцы, так и троянцы, помещенные злоумышленниками непосредственно в образ прошивки операционной системы ряда Android-устройств.
Услуги дистанционного банковского обслуживания, в частности мобильного банкинга, продолжают набирать все большую популярность среди пользователей мобильных устройств. Поэтому с каждым годом киберпреступники усиливают атаки на мобильные устройства пользователей с целью получения доступа к их банковским счетам с применением разнообразных троянцев. На протяжении минувшего года специалисты компании «Доктор Веб» фиксировали большое число «мобильных» банкеров, предназначенных для заражения Android-смартфонов и планшетов жителей из разных стран. Попадая на мобильные устройства пользователей, эти вредоносные приложения способны похищать логины и пароли от банковских аккаунтов, перехватывать СМС-сообщения с проверочными mTAN-кодами и выполнять автоматические денежные переводы в пользу вирусописателей.
Кроме того, подобные троянцы могут похищать различную конфиденциальную информацию владельцев Android-устройств, скрытно отправлять СМС-сообщения и выполнять другие противоправные действия. В 2014 году для злоумышленников одним из наиболее привлекательных регионов стала Южная Корея с ее развитым рынком услуг дистанционного банковского обслуживания. Для распространения вредоносных Android-приложений среди южнокорейских клиентов кредитных организаций предприимчивые вирусописатели очень активно использовали рассылку нежелательных СМС-сообщений, в которых содержалась ссылка на загрузку того или иного Android-троянца. Так, согласно имеющейся статистике, за последние 12 месяцев киберпреступники организовали более 1760 подобных спам-кампаний, при этом в общей сложности специалисты компании «Доктор Веб» зафиксировали активность порядка 80 различных вредоносных Android-программ, а также множества их модификаций.
Несмотря на то, что размещение троянцев внутри различных прошивок ОС Android не является новым способом распространения вредоносных приложений, киберпреступники еще нечасто применяют подобную методику совершения атак на пользователей. Тем не менее вирусописатели вовсе не отказываются от таких "нестандартных" приемов, и время от времени обнаруживается очередной Android-троянец, внедренный в распространяемый в интернете образ операционной системы, либо предустановленный на том или ином мобильном устройстве. В прошлом месяце выявлено сразу несколько подобных случаев. Так, внесенный в вирусную базу Dr.Web троянец Android.Backdoor.126.origin по команде управляющего сервера мог размещать среди входящих сообщений пользователя зараженного мобильного устройства различные SMS с заданным злоумышленниками текстом, что позволяло предприимчивым вирусописателям реализовывать разнообразные мошеннические схемы.
Другой троянец, "спрятанный" внутри установленной на ряде мобильных Android-устройств операционной системы, предоставлял киберпреступникам еще больше возможностей для незаконной деятельности. В частности, вредоносная программа Android.Backdoor.130.origin могла отправлять SMS-сообщения, совершать звонки, демонстрировать рекламу, загружать, устанавливать и запускать приложения без ведома пользователя, а также передавать на управляющий сервер различную конфиденциальную информацию, включая историю звонков, SMS-переписку и данные о местоположении мобильного устройства. Кроме того, Android.Backdoor.130.origin имел возможность удалять уже установленные на зараженном устройстве приложения, а также выполнять ряд других нежелательных действий.
Еще один троянец, Android.SmsBot.213.origin, по команде киберпреступников мог перехватывать и отправлять сообщения, а также передавать на управляющий сервер конфиденциальную информацию пользователей. Главная опасность данного троянца заключалась в том, что его вредоносный функционал позволял злоумышленникам получить доступ к управлению банковскими счетами пользователей, у которых была подключена услуга мобильного банкинга. Так, отправляя и перехватывая SMS-сообщения, необходимые для работы с системой дистанционного банковского обслуживания, Android.SmsBot.213.origin мог незаметно для своих жертв перевести все их деньги на счет злоумышленников. Интересной особенностью программы является то, что создавшие ее киберпреступники распространяли троянца под видом популярной игры, которая в конечном итоге все же устанавливалась на заражаемое устройство. В частности, после установки и запуска пользователем Android.SmsBot.213.origin инициировал инсталляцию скрытого внутри него файла оригинального игрового приложения, после чего удалял свой ярлык и функционировал уже в качестве системного сервиса.
Чтобы вызвать у потенциальной жертвы интерес к полученному спам-сообщению и заставить ее перейти по ведущей на загрузку троянца ссылке, злоумышленники сопровождали рассылаемые ими СМС текстами различной социальной направленности. В частности, одними из самых популярных прикрытий для южнокорейских вирусописателей стали темы отслеживания почтовых отправлений, приглашений на различные мероприятия, такие как свадьбы и разнообразные встречи, а также сообщений о совершенных правонарушениях и предстоящих учениях по гражданской обороне.
Кроме того, злоумышленники рассылали СМС-спам от имени банков, операторов связи и популярных онлайн-сервисов, и даже не брезговали использовать в качестве «горячей» приманки для своих жертв тему резонансных техногенных катастроф, несчастных случаев и стихийных бедствий. При переходе по ссылке из мошеннического сообщения южнокорейские владельцы Android-смартфонов и планшетов чаще всего перенаправлялись на вредоносный сайт, используемый в качестве площадки для хранения и распространения того или иного Android-троянца, либо попадали на страницу одного из популярных «облачных» сервисов, задействованных киберпреступниками с той же целью.
Примечательно, что предприимчивые злоумышленники в большинстве случаев (в 66,78%), предпочитали использовать именно облачные сервисы хранения данных, либо иные бесплатные интернет-сервисы для размещения своих вредоносных приложений, что легко объясняется полным отсутствием необходимости затрачивать силы, время и средства на поддержание собственных онлайн-ресурсов.
Многие из примененных при атаках на южнокорейских пользователей Android-троянцев обладали чрезвычайно широким вредоносным функционалом и были наделены разнообразными техническими особенностями. Например, большое число троянцев-банкеров (в том числе, Android.Banker.28.origin), предназначенных для кражи конфиденциальных сведений клиентов кредитных организаций Южной Кореи, использовали весьма интересный механизм похищения ценных сведений. При запуске они проверяли наличие на зараженном мобильном устройстве официальных приложений типа «Банк-Клиент» и в случае обнаружения одного их них имитировали его интерфейс, запрашивая у пользователя секретную информацию, такую как логин и пароль от банковской учетной записи, номер банковской карты, персональные данные жертвы и даже цифровой сертификат безопасности, используемый для транзакций.
Иногда такие троянцы (например, Android.BankBot.35.origin) действовали более прямолинейно и просто-напросто предлагали «обновить» имеющийся мобильный банковский клиент. В действительности же вместо легального приложения устанавливалась его троянская копия, которая уже известным способом похищала необходимые киберпреступникам сведения.