Masz mobilne konto bankowe? Lepiej uważaj

Przeczytaj także: Android.Backdoor.114 ukrywa się w oficjalnym firmware

Android.BankBot.34.origin jest dystrybuowany jako aktualizacja systemu i zawiera w sobie ikonę jednego z popularnych, i co istotne, legalnych programów. Ma to zwiększyć prawdopodobieństwo instalacji i urochomienia szkodnika. Złośliwy program może naśladować dowolną aplikację, a zależy to tylko i wyłącznie od kreatywności cyberprzestępców. Po instalacji Trojan umieszcza swoją ikonę na ekranie głównym atakowanego urządzenia – jeśli w systemie obecna jest legalna aplikacja, ikona pojawia się obok niej, dzięki czemu użytkownicy łatwo mogą pomylić aplikacje i przypadkowo uruchomić malware zamiast legalnego programu. Jeśli użytkownik zainfekowanego urządzenia mobilnego nie aktywuje złośliwej aplikacji po jej instalacji, Android.BankBot.34.origin zostanie automatycznie uruchomiony po restarcie systemu.

Po uruchomieniu Android.BankBot.34.origin prosi użytkownika o udzielenie mu uprawnień administracyjnych, co może w konsekwencji utrudnić jego usunięcie. Ponadto, jeśli Android.BankBot.34.origin zostanie uruchomiony przez użytkownika urządzenia, to malware usunie swoją wcześniej wykreowaną ikonę. Następnie Trojan rozpoczyna złośliwą aktywność.

Android.BankBot.34.origin może realizować dwa scenariusze ataku na zainfekowanym urządzeniu. Pierwszy scenariusz zależy od zachowania się użytkownika i zostaje zapoczątkowany, gdy próbuje on uruchomić aplikację będącą w kręgu zainteresowań intruzów. Jeśli użytkownik zainfekowanego smartfona lub tabletu uruchomi taki program, Android.BankBot.34.origin wyświetla na ekranie aplikacji phishingowe okienko dialogowe, które prosi użytkownika o ujawnienie poufnych informacji, takich jak login i hasło, numer telefonu lub informacje o karcie kredytowej.

Mechanizm działania tego wirusa, który opiera się na naśladowaniu okien dialogowych określonych aplikacji oznacza, że jego twórcy nie tylko bazują na nieostrożności użytkowników, ale zaangażowali również znaczne środki, aby program zmylił nawet bardziej czujne osoby – informuje Joanna Schulz-Torój, specjalista Doctor Web

W tym celu przestępcy wykorzystują następujące aplikacje mobilne:
Google Play, Google Play Music, Gmail, WhatsApp, Viber, Instagram, Skype, Facebook, Twitter
Ostatecznie dane wprowadzone przez użytkownika są przekazywane na zdalny serwer.

Drugi scenariusz ataku nie wymaga aktywności użytkownika i jest implementowany wyłącznie zgodnie z instrukcjami przesyłanymi przez intruzów ze zdalnego hosta. Serwer kontrolno-zarządzający (C&C) może zlecić wirusowi wykonanie następujących zadań:

• uruchomienie lub zatrzymanie przechwytywania przychodzących i wychodzących SMS-ów;
• wysłanie zapytania USSD;
• wpisanie określonych numerów na czarną listę, co skutkuje tym, że użytkownik nie otrzymuje wiadomości pochodzących z tych numerów (domyślnie lista zawiera numery centrów obsługi klienta określonych operatorów, dostawców usług bankowych on-line i firm e-commerce);
• wyczyszczenie czarnej listy;
• przesłanie na zdalny serwer informacji o aplikacjach zainstalowanych na urządzeniu;
• wysłanie wiadomości SMS;
• przekazanie ID malware na zdalny serwer;
• wyświetlenie okna dialogowego lub wiadomości zgodnie z parametrami przesłanymi z serwera C&C (np. instrukcja z serwera może określić tekst wiadomości do wyświetlenia na ekranie, ilość pól do wprowadzania danych, itp.).