Банковский троян для android, который способен украсть всё

09 Апреля 2015 19:04 09 Апр 2015 19:04 |

CNews обнаружил и изучил троянскую программу для Android-смартфонов, похищающую средства с привязанных к телефонным номерам карт Сбербанка. Деньги путем SMS-команд переводятся на номера других операторов. В Сбербанке говорят, что при использовании Android без антивируса ответственность за возможные риски лежит на клиенте.

Фальшивый Flash-проигрыватель для взрослых

У пользователей смартфонов под управлением операционной системы Android пропадают средства с привязанных к ним карт Сбербанка. Об этой проблеме CNews рассказал источник на рынке мобильной коммерции, она же описывается на сайте Android-soft.org и подтверждается ми пользователей. Как выяснил CNews, средства с карт крадет специальная троянская программа.

Троян распространяется через «сайты для взрослых»: при заходе на них с Android-устройства пользователю предлагается установить фальшивый Flash-проигрыватель. Далее, если пользователь предоставляет приложению права администратора, программа начинает отправлять SMS-сообщения на закрепленный за Сбербанком номер «900».

Троянская программа затирает как отправленные ей SMS-сообщения, так и большинство пришедших на них ответов от Сбербанка. Она уничтожает даже те сообщения, который банк присылает пользователю в ответ на просьбу сообщить ему баланс в SMS.

Корреспондент CNews нашел способ увидеть сообщения, отправляемые трояном. Тестирование проводилось с помощью SIM-карты «Мегафона», который предоставляет пользователям программу UMS. Это ПО позволяет посмотреть отправленные SMS-сообщения, загружая их с сервера оператора. Но входящие от Сбербанка даже с помощью UMS увидеть не удалось.

Первым делом троян отправляет SMS-сообщение «баланс» на номер «900». Если приходит ответ, значит к телефону привязана карта Сбербанка с возможностью управления ей через SMS-команды (услуга «Мобильный банк»).

Мошенников подвела жадность

В ходе эксперимента, проводимого корреспондентом CNews, на привязанную карту было переведено i 2 тыс.

По всей видимости, мошенников эта сумма не заинтересовала, так как никаких дальнейших действий по воровству денег не было. Тогда сумма на карте была увеличена до i 5 тыс.

На следующий день мошенники снова проверили баланс, и, увидев новую сумму, весь вечер и ночь пытались переводить деньги на другие сотовые номера.

Всего было осуществлено девять попыток перевода денежных средства на номера «Вымпелкома» (торговая марка «Билайн») и Tele2 на общую сумму i 34,2 тыс. Правда, судя по выписке из «Сбербанк Онлайн», мошенникам удался только первый перевод на сумму i 1,4 тыс.

на номер «Билайна» (оператор предоставляет своим клиентам специальные номера счетов мобильной коммерции, начинающиеся на «6» вместо «9»). Последующие попытки перевести по i 5 тыс. на номера Tele2 оказывались неудачными из-за отсутствия достаточной суммы на карте. Перевести еще по i 1,4 тыс.

на номера «Билайна» создателям трояна также не удалось: система Сбербанка ответила отказом из-за превышения допустимого лимита запросов.

При этом в разделе SMS-сообщений телефона отображались только ответы Сбербанка об отказе в проведении операций. Ни отправленных SMS-сообщений на номер «900», ни сообщений о фактах успешного перевода не было видно. Впрочем, как уже отмечалось, благодаря программе UMS удалось увидеть, какие сообщения отправляли мошенники.

Цифровые новинки ВТБ: от биометрии для веб-версии до банка в Telegram

ИТ в банках

В случае удачного перевода на собственные мобильные номера, мошенники, скорее всего, попытаются их вывести оттуда. Сделать это можно, например, путем перевода на сервис электронных денег. В то же время «Билайн» предоставляет возможность снимать деньги с телефонного номера прямо в банкомате.

В «Лаборатории Касперского» рассказали CNews, что файл с этим трояном относится к семейству вредоносного ПО Backdoor.AndroidOS.Obad.

Соответствующее ПО эксплуатирует уязвимости в системе Android, связанные с конвертацией .Apk-файлов в файлы формата .Jar, а также с неверной структурой файла-описателя программы AndroidManifest.xml.

После получения прав администратора приложение невозможно удалить.

Почему на Android надо ставить антивирус

В Сбербанке CNews пояснили, что подключая услугу «Мобильный банк», клиент автоматически соглашается с условиями ее предоставления, в том числе, с необходимостью выполнения требований безопасности.

«При использовании незащищенной платформы Android без антивирусной защиты, загружая ПО из непроверенных источников, клиент нарушает опубликованные на сайте услуги требования безопасности и полностью берет на себя соответствующие риски и ответственность за возможный ущерб, — говорится в ответе банка на запрос CNews.

— Следует также отметить, что клиенты, использующие другие платформы, подобным рискам практически не подвергаются».

Импортозамещение, Азия или «серый» импорт: где брать серверное оборудование

Импортозамещение

В Сбербанке добавили, что делают все возможное для обеспечения безопасности клиентов: при активном участии банка за последние полгода ликвидировано уже две киберпреступных группы, атакующие клиентов Сбербанка и других российских банков.

По договору со Сбербанком его клиент — держатель карт — должен знакомиться с публикуемыми банком мерами безопасности при работе с «Мобильным банком» и неукоснительно их соблюдать. Сбербанк рекомендует пользователям использовать антивирусное ПО на смартфонах, подключенных к этой услуге, а также избегать использования нелицензионных операционных систем.

В марте Сбербанк внедрил решение, позволяющее клиентам защититься от вирусных угроз в приложении для Android.

По заявлению Сбербанка, «Сбербанк Онлайн» для Android — это первое банковское приложение со встроенным антивирусом, разработанным в «Лаборатории Касперского».

Антивирус сканирует ОС смартфона при первом запуске приложения, а затем продолжает это делать в фоновом режиме.

При обнаружении в системе приложений с признаками вредоносного ПО, антивирус предупреждает об этом пользователя и предлагает удалить ему удалить подозрительные программы.

Игорь Королев

Подписаться на новости Короткая ссылка

Троян для Android, ворующий информацию банковской карты, получил наибольшее распространение в России

Троян для Android, ворующий информацию банковской карты, получил наибольшее распространение в России Анализ угроз и советы по мобильной безопасности.

Данный троян заставляет своих жертв выдать права администратора, безостановочно выводя на экран всплывающие окна с соответствующим запросом. В случае отказа окно всплывает снова.

Новый вирус распространяется, используя технику социальной инженерии: пользователей хитростью заставляют пройти по ссылке и установить якобы полезное приложение.

В частности, злоумышленники маскируют троян под приложения AVITO-MMS, KupiVip или MMS Центр. Когда пользователь запускает его, троян начинает свою вредоносную деятельность.

Примечательно, что после первого запуска программы иконка становится скрытой, что делает его более неуловимым.

Убедившись, что процесс работы происходит не на эмуляторе, троян включает таймер, который постоянно выводит на экран окно с просьбой выдать приложению привилегии администратора. Стоит жертве закрыть одно окно, как на его месте возникает новое. 

На старых моделях телефона со слабой производительностью есть шанс выйти в меню, воспользовавшись паузами медленно всплывающих окон, и удалить приложение через настройки, однако, такие ситуации встречаются редко.

Как правило, избавиться от навязчивых просьб вируса можно только перезагрузив устройство, а затем сбросив его к заводским настройкам. Обладатели Android Marshmallow могут попробовать войти в настройки и удалить назойливое приложение вручную, использовав верхнюю «шторку» в системе.

В то же время, у пользователей Android KitKat такой возможности нет. 

Как только жертва выдает вирусу привилегии администратора, он начинает постоянно выводить на экран другое всплывающее окно, на этот раз с требованием назначить скачанный AVITO-MMS, MMS Центр или KupiVip приложением для SMS-сообщений по умолчанию.

Если пользователь соглашается и на это, троян связывается с управляющими серверами, отправляет информацию об устройстве на C&C (command and control) сервер, и получает от злоумышленников дальнейшие команды.

 Отправляемая на сервер информация включает в себя серийный номер устройства, код государства, название мобильного оператора и серийный номер SIM-карты, версию Android-устройства, номера телефона и текущей версии вируса.

Далее троян пытается хитростью заставить пользователя ввести данные своей банковской карты.

Что такое банковский троян: как не стать жертвой

Мы должны помнить, что мы живем во времена, когда кибератаки очень присутствуют, и что во многих случаях они живут большой бум. Это правда, что средства безопасности были улучшены, чтобы обнаруживать и избегать проблем. Тем не менее, хакеры также совершенствуют свои методы для выполнения своих атак.

Если говорить о росте кибератак, мы должны учитывать в основном мобильные устройства. У нас есть большое количество компьютеров, подключенных к сети, и иногда они не соответствуют мерам безопасности, которые они должны. Это делает их уязвимыми для атак киберпреступников.

В этой статье мы собираемся сосредоточиться на банковских троянах. Это тип вредоносного ПО, которое возрос в последнее время в основном на мобильных телефонах.

Это реальность, что сегодня мы используем устройства такого типа для серфинга в сети, осуществления платежей, доступа к нашему банковскому счету… У нас есть широкий спектр возможностей, но это также заставляет хакеров нацеливаться здесь.

Что такое банковский троян

Работы С Нами банковский троян Можно сказать, что это вредоносная программа, которая стремится украсть банковские данные у пользователей.

Он присутствует в настольных компьютерах и мобильных устройствах, где он значительно вырос в последнее время.

Это угроза, способная собирать информацию о наших экономических операциях, платежах, которые мы делаем, пароли для доступа к банковским счетам … Все, что связано с этой проблемой.

Это в основном вредоносное программное обеспечение, которое скрыто, как если бы оно было законным. Иногда это может прийти через программу, которую мы устанавливаем. Многие ничего не подозревающие или неопытные пользователи могут попасть в ловушки, которые ставят под угрозу безопасность их устройств.

Имейте в виду, что существует множество банковских троянцев. Некоторые из них специально разработаны для мобильных устройств, а другие могут атаковать определенные операционные системы, такие как Windows. Цель всегда будет одна и та же, что есть не что иное, как кража банковской информации и данных, хотя используемые средства могут отличаться.

Методы заражения банковского трояна

Существуют много методов через которые наши компьютеры могут заразиться банковскими троянами. Важно, чтобы мы знали, как она достигает нашей системы, чтобы не стать жертвами этой проблемы. Давайте упомянем, каковы наиболее распространенные методы заражения банковского трояна.

Загрузка вредоносного программного обеспечения

Без сомнения, одной из наиболее распространенных причин является загрузка вредоносное программное обеспечение , Мы говорили о загрузке программы, которая может быть законной, но на самом деле скрывает программное обеспечение, которое ставит под угрозу правильное функционирование нашего оборудования. Это делает очень важным скачивание только из надежных источников.

Вложения в электронном письме

Эл. адрес это также средство, широко используемое хакерами для развертывания своих атак. Простое вложение, которое может быть, например, файлом изображения или Word, может скрыть банковский троян. Есть много угроз безопасности, которые могут прийти через эту среду.

Посетите зараженные страницы

Это также может быть случай, когда мы заражаемся, когда просмотр зараженных страниц , Возможно, злоумышленник внедрил вредоносный код на сайт, и при входе мы фактически получаем доступ к мошенническим ссылкам или переходим на страницы для загрузки вредоносного программного обеспечения. Короче говоря, это еще один момент для рассмотрения.

Уязвимости в системе

Иногда наши системы могут иметь уязвимости , Эти уязвимости безопасности используются хакерами для атаки. Они могут внедрить банковские трояны из-за уязвимостей в нашем оборудовании.

Как действуют банковские трояны

Мы также объясним, что делает банковский троян. Мы упоминали, что они предназначены для кражи банковской информации, паролей и данных. Теперь, как они на самом деле это делают? Давай увидим это.

Регистрация ключей

Одной из наиболее распространенных характеристик банковских троянов является способность зарегистрировать ключи , По сути, они собирают все, что мы пишем на наших устройствах, чтобы потом проводить свои атаки. Поэтому они могут регистрировать учетные данные, которые мы пишем, а также пароли.

Захват и запись

Они также могут делать скриншоты или даже записывать. Особенно в мобильных устройствах присутствуют банковские трояны, обладающие такой возможностью. Еще один способ зарегистрировать учетные данные и пароли пострадавших.

Мошеннические перенаправления

Конечно поддельные перенаправления также присутствуют. Это происходит, когда мы используем программное обеспечение, которое было изменено злонамеренно. Мы считаем, что мы получаем доступ к законной ссылке, но на самом деле мы собираемся перейти на веб-сайт, контролируемый злоумышленниками, чтобы украсть информацию и пароли.

Как не стать жертвой трояна

Мы видели, что такое банковский троян, как он может заразить нас и как он действует. Но самое главное это предотвратить. Мы дадим ряд основных советов, чтобы не стать жертвами такого рода проблем. Цель состоит в том, чтобы предотвратить их заражение наших систем.

Что-то важное, чтобы иметь средства безопасности , Хороший антивирус может предотвратить проникновение угроз, которые подвергают риску наши компьютеры.

Мы располагаем широким спектром возможностей. Есть программное обеспечение безопасности, которое является бесплатным и другим платным.

Он должен применяться независимо от типа используемого устройства или операционной системы.

Держите команды в курсе

Иногда уязвимости возникают, которые используются хакерами для развертывания своих атак. Обычно сами производители выпускают исправления и обновления для системы безопасности. Мы всегда должны обновлять системы и устанавливать патчи.

Скачать из достоверных источников

Конечно, при загрузке программного обеспечения, это должно быть сделано из официальные источники , Таким образом мы избегаем установки программного обеспечения, которое было злонамеренно изменено хакерами. Крайне важно, чтобы мы устанавливали программы из официальных магазинов и не попадали в ловушки, которые могут привести к мошенническому программному обеспечению.

Здравый смысл

Последнее, но, возможно, самое важное, это здравый смысл , Мы видели, что многие угрозы приходят, например, через простое электронное письмо, которое мы получаем. Также через вредоносную ссылку мы посетили или загрузили программу, которая была модифицирована для атаки.

Крайне важно, чтобы мы использовали здравый смысл во всех случаях.

Мы должны предотвратить проникновение банковских троянов через вложения, которые мы получаем по электронной почте, загрузку вредоносного программного обеспечения или несоблюдение соответствующих мер предосторожности. Только тогда мы сможем не стать жертвами проблемы, которая все больше затрагивает больше пользователей на всех типах устройств.

Короче говоря, мы можем сказать, что банковские трояны представляют собой тип угрозы, который очень присутствует сегодня. Он действует по-разному, но мы также можем использовать различные инструменты и методы, чтобы не стать жертвами этой проблемы.

Мобильные воришки: какие приложения воруют деньги с телефона — Мир графики

Смартфоны становятся все мощнее и все более похожими на компьютеры по характеристикам. В них хранится ценная информация о владельце, включая данные о банковских картах, чем и могут воспользоваться киберпреступники.

Приложения-трояны

Этот вредоносный софт способен совершать действия без ведома владельца данных. Таким образом злоумышленники получают доступ к конфиденциальной информации и совершают несанкционированные операции. В каком-то смысле это те же компьютерные вирусы, но только они не умеют воссоздавать себя и производить бесконтрольные действия.

Работа троянов происходит как в серверной части, так и в клиентской. Клиентская используется для доступа и настройки конфигураций, а серверная служит для распространения. Серверную часть и запускают на своих компьютерах потенциальные жертвы. На что способны трояны:

• подменивать данные;
• удалять информацию;
• копировать информацию;
• блокировать сведения.

Разделяют несколько видов троянских программ, в зависимости от совершаемых ими действий. Вот 2 основных типа:

1. BackDoor (черный ход) — опасны тем, что предоставляют его владельцу весь доступ к данным жертвы. Запустив файл с трояном, вы включаете его в автозагрузку и предоставляете удаленное управление хозяину вредоносного приложения. Теперь хакер может совершить любые действия на вашем ПК.
2. MailSender – стоит запустить его всего один раз, и он будет постоянно собирать все используемые пароли. Некоторые могут перехватывать скрытые данные и сохранять их. Все собранные сведения передаются владельцу трояна. Этот вид хакерского приложения приводит к плачевным последствиям, потому как злоумышленник пользуется логинами и паролями в интернете и совершает выгодные ему действия по вашим именем.

Троянцы-банкеры

Запуск банковских троянцев — популярное киберпреступление, особенно в РФ, СНГ, Индии, Вьетнаме. Более всего уязвимы смартфоны на ОС Android. 95% вредоносных приложений для смартфонов занимает именно этот вид троянов. Метод работы у таких приложений следующий:

1. Скрытие смс-оповещения с кодом и его отправка хозяину приложения.
2. Далее в автоматическом режиме происходят действия, направленные на переводы небольших сумм на преступные счета.
3. Либо троянский софт подменивает приложение банков на свое и предоставляет доступ из личных кабинетов жертвы злоумышленнику.

Trojan-Banker крадут денежные средства из систем онлайн-банкинга, интернет оплаты с помощью электронных карт или электронных платежей. В 2019 году хакеры запустили вирус для смартфонов на Android, который заходил в мобильный приложения и выводил деньги без ведома владельца телефона. Два крупнейших российских банка столкнулись с этой проблемой, хотя и без слишком серьезных последствий.

Фальшивые приложения

«Хитрые» банковские трояны: скачать «полезное» приложение и остаться без денег на карте | Эксперты объясняют от Роскачества

Анализ мобильных угроз в минувшем 2020 году показал колоссальный рост активности рекламного ПО и зловредов, обворовывающих мобильные банки пользователей.

Речь идет о банковских троянах, так называемых «банкерах», нацеленных на хищение средств через мобильный банк пользователей.

По данным «Лаборатории Касперского», прирост банковских троянов составил 100% по сравнению с 2019 годом, всего было обнаружено более 156 тысяч экземпляров таких вирусов.

Еще больший прирост показали рекламные вирусы-adware, однако наиболее серьезную опасность для пользователей представляют как раз банковские трояны.

Рекламное ПО просто надоедает навязчивым спамом (хотя есть вероятность ухудшить ситуацию, случайно кликнув на вредоносный баннер), а вот банкеры – это уже реальная угроза.

В абсолютном большинстве случаев жертвами банковских троянов становятся обладатели смартфонов на ОС Android: топ-4 самых распространенных вредоносов в 2020 году – банкеры Ginp, Cebruser, Ghimob и Cookiethief.

Чаще всего пользователи сами загружают такие трояны, принимая их за полезные приложения. Другие каналы доставки вирусов – это фишинговые СМС и сообщения в мессенджерах с вредоносной ссылкой или письма в почте, содержащие вложение.

Как действуют банковские трояны?

Во-первых, при запуске банковского приложения троян может выводить собственный интерфейс поверх настоящего и красть все данные для входа в мобильный банк. Во-вторых, вирус перехватывает СМС с одноразовыми паролями. Таким образом, в сочетании с первой функцией он может моментально «сам себе» разрешить перевод денег злоумышленнику.

Как понять, что ваш телефон заражен банковским трояном?

К сожалению, чаще всего понимание этого приходит уже поздно – когда деньги исчезли со счета.

Как защитить свой мобильный банк от троянов?

Чтобы избежать этой неприятности, нужно быть внимательным и соблюдать меры профилактики, минимизировав тем самым риск угрозы для своего мобильного банка.

Правила цифровой безопасности от специалистов Центра цифровой экспертизы Роскачества:

• Не скачивайте файлы из неизвестных источников (в том числе по ссылкам в мессенджере) и не устанавливайте приложения из неофициальных магазинов. Не устанавливайте приложения, если вас об этом просят по телефону (неважно, кем этот человек представляется).
• Всегда обращайте внимание на разрешения, которые запрашивает устанавливаемое приложение. Банковским троянам нужны два разрешения: показ поверх всех окон и права доступа к СМС, поэтому стоит быть особенно осторожными с приложениями, которые такие права запрашивают.
• Пользуйтесь приложением мобильного банка, а не мобильной или десктопной версией (в интернете много фишинговых страниц, имитирующих сайты банков). Если вам необходимо воспользоваться десктопной версией, вводите адрес в строке вручную, а не выбирайте результат из закладок браузера.
• Не используйте общественный Wi-Fi для входа в мобильный банк и оплаты покупок. Пользуйтесь мобильным интернетом от оператора либо платным VPN-сервисом, который зашифрует данные.
• Обращайте внимание на сумму и реквизиты операции, которые содержатся в СМС от банка. Никому не сообщайте коды от СМС.
• Установите на телефоне антивирус, регулярно его обновляйте и проводите проверку файлов на телефоне.

Антон Куканов

руководитель Центра цифровой экспертизы Роскачества

Карманные трояны. Как работают мобильные банкеры

• Мобильные банкеры
• Банкботы
• Индустрия
• А как бороться?

Одним солнечным апрельским утром мой завтрак был прерван телефонным звонком приятеля — предпринимателя, занимавшегося грузовыми перевозками.

Срывающимся голосом он рассказал, что с его банковского счета куда-то испарились два миллиона рублей.

А служба поддержки банка развела руками, отправив приятеля писать заявление в полицию, поскольку денежные переводы были совершены с помощью мобильного приложения и подтверждены по SMS, что по всем признакам соответствует вполне легальной финансовой операции.

«Тыжпрограммист, — простонал в трубку мой приятель, — посоветуй, что делать».

Увы, что-либо делать было уже поздно, ибо инструментом для кражи послужил банковский троян, обосновавшийся на смартфоне моего товарища задолго до этого досадного инцидента.

И предотвратить потерю денег было можно, лишь заранее изучив принципы работы и методы борьбы с такими вредоносными программами. Чем мы прямо сейчас и займемся.

Первые полноценные банковские трояны для мобильной платформы Android были обнаружены еще в 2011 году. Нет, вредоносы, способные передавать злоумышленникам входящие SMS-сообщения, в том числе содержащие mTAN-коды (коды аутентификации транзакций), существовали и до этого.

Кроме того, были известны трояны, умеющие оперировать USSD-командами. Они могли перевести заданную злодеями сумму с «привязанной» к телефону банковской карты, пополнив баланс левого мобильного телефона, или узнать остаток средств на счете.

Но полноценными банкерами такие трои, конечно же, не были, поскольку заметно уступали по функциональным возможностям своим десктопным аналогам.

Все изменилось с появлением Android.SpyEye. Этот трой работал в связке с вредоносом SpyEye для Windows, благодаря чему обрел способность обходить двухфакторную аутентификацию. Действовал он следующим образом.

Как только пользователь зараженной винды открывал в браузере банковский сайт, работающий на компе трой выполнял веб-инжект, встраивая в страницу кусок HTML-кода, который он подгружал из конфига.

Поскольку инжект осуществлялся на стороне клиента, URL банковского сайта в адресной строке браузера оказывался корректным, а соединение было установлено по протоколу HTTPS.

Поэтому содержимое веб-страницы не вызывало у жертвы никаких подозрений.

Текст, встроенный трояном в банковский сайт, гласил, что банк внезапно изменил условия работы и для авторизации в системе банк-клиент необходимо установить на мобильный телефон небольшое приложение размером около 30 Кбайт, скачав его по предложенной ссылке — «в целях безопасности». Приложением, естественно, был мобильный трой Android.SpyEye.

Эта вредоносная программа не создавала никаких значков, ее можно было отыскать только в списке работающих процессов под названием «Система». Основная задача троя — перехват всех входящих SMS-сообщений и пересылка их на управляющий сервер, адрес которого вредонос брал из XML-конфига.

Так выглядел один из первых мобильных банковских троянов — Android.SpyEyeКогда жертва вводит логин и пароль на банковском сайте в окне браузера, Windows-троян SpyEye перехватывает и отправляет их ботоводам.

После этого злоумышленники в любой момент могут авторизоваться с помощью этих данных в системе банк-клиент на сайте банка, однако сервер обязательно отправит владельцу счета проверочный код в SMS, который нужно ввести в специальную форму.

Это сообщение будет перехвачено мобильной версией SpyEye и передано вирусописателям. Используя перехват SMS, они смогут выполнять любые операции по счету, например опустошить его подчистую.

Узким местом этой довольно сложной схемы была необходимость синхронизации работы банковского и десктопного компонентов троянской связки, однако указанную проблему вирусописателям удалось успешно решить. Несколько месяцев SpyEye наводил шорох среди пользователей банковских сервисов, пока не попал в базы всех популярных антивирусов, после чего его деятельность постепенно сошла на нет.

Мобильные банкеры

Спустя какое-то время сотрудники IT-отделов банков понемногу освоили веб-программирование, и банк-клиенты окончательно перекочевали с десктопов в мобильные телефоны в виде Android-приложений.

Это значительно облегчило жизнь вирусописателям: у них отпала необходимость заморачиваться с троянами под винду, и они смогли наконец полностью сосредоточить свои усилия на разработке мобильных банкеров.

Ведь владелец Android-смартфона с банковским приложением на борту — это ходячий кошелек, опустошить который мечтает каждый уважающий себя вирмейкер.

Троян из Google Play крадет банковские данные россиян. Он маскируется под сканер QR-кодов

Нидерландская компания в сфере кибербезопасности ThreatFabric выявила приложения в магазине Google Play, которые загружают вирусы-трояны, способные украсть данные банковских приложений, — они опасны в том числе и для клиентов российских банков. Об этом сообщается в блоге компании.

Приложения маскируются под сканеры QR-кодов и документов, а также трекеры криптовалют. Исследователи приводят их названия: PDF Document Scanner, PDF Document Scanner — Scan to PDF, PDF Document Scanner Free, QR Scanner, QR Scanner 2021, CryptoTracker.

При этом программы выполняют заявленные функции, пишет ThreatFabric. Сообщается, что пользователи успели оставить большое количество положительных отзывов. Однако при установке сканеры и трекеры просят загрузить обновления, под видом которых со стороннего сервера скачивается троян. После этого приложения продолжают функционировать в обычном режиме.

Один из сканеров QR-кодов был загружен более 50 тыс. раз. Общее число загрузок всех приложений, нацеленных на российскую аудиторию, составило более 100 тыс., на все страны — более 300 тыс.

Вирусы действуют в ряде стран — помимо России список включает Великобританию и США. Троян, угрожающий отечественным пользователям, получил название Anatsa.

После установки он отправляет злоумышленникам технические данные об устройстве и информацию о его местонахождении. «Anatsa получает полный контроль над устройством и может самостоятельно выполнять действия от имени пользователя», — сообщается в материале.

Подробности по теме

США обвинили шестерых россиян в создании вируса Trickbot, заразившего десятки миллионов компьютеров

США обвинили шестерых россиян в создании вируса Trickbot, заразившего десятки миллионов компьютеров

Исследователи уточняют, что троян может подменять экраны банковских приложений, отправлять снимки экрана с целью украсть пароли и фиксировать набор текста на клавиатуре.

В расследовании приводится список приложений банков, чьи клиенты могли подвергнуться атакам. Для России он выглядит следующим образом:

• «Сбер»
• «Тинькофф»
• «Уралсиб»
• «ВТБ»
• «Мой банк»
• «Почта банк»
• «ОТП банк»

Исследователи добавляют, что изначально приложения не содержали в себе механизма загрузки вируса — он был добавлен в более поздних версиях. ThreatFabric не сообщает о возможном ущербе и количестве пострадавших пользователей.

Новый Android-троян крадет деньги со счетов российских банков

Компания Dr.Web сообщила о появлении опасного Android-трояна, который атакует мобильные устройства клиентов российских банков и похищает деньги с их счетов. Вирус получил название Android.BankBot.33.origin. Он представляет собой бота, распространяемого под видом обычных приложений и способного выполнять различные команды злоумышленников.

При запуске на устройстве вредоносная программа пытается получить права администратора мобильного устройства, настойчиво демонстрируя соответствующее системное уведомление и фактически не оставляя пользователю выбора.

После успешного получения администраторских прав Android.BankBot.33.origin, в зависимости от модификации, может вывести на экран сообщение об ошибке либо отобразить интерфейс приложения, под прикрытием которого и распространялся вирус.

В обоих случаях бот также удаляет созданный ранее ярлык.

Затем программа устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве, включая IMEI-идентификатор, номер телефона, версию установленной ОС, марку и модель устройства и т.д.

В ответ сервер отправляет боту список команд, которые тот должен исполнить. Например, Android.BankBot.33.

origin может занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя или пересылаться на управляющий сервер, отправить SMS-сообщение, скопировать и переслать список контактов, а также открыть в браузере заданную страницу.

Кроме того, вирус может предпринять попытку установить на устройство новое приложение или удалить установленное ранее, но для этого ему необходимо будет получить согласие пользователя.

Как отмечают эксперты, главная опасность этого вируса заключается в том, что он способен функционировать в качестве банковского трояна и выполнять незаконные операции с денежными средствами владельцев Android-устройств.

Вирус пытается получить информацию о текущем балансе банковского счета либо списке подключенных к мобильному телефону пользователя банковских карт.

Для этого он отправляет соответствующий SMS-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем.

Если вирус получит ответ, то при помощи специально сформированных SMS-команд он попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва может долгое время оставаться в неведении о произошедшей краже, поскольку «зловред» будет перехватывать все уведомления о совершенных операциях.

Также вредоносная программа вполне может помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя при помощи замены настоящего банковского сайта на фальшивую страницу. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, что может стать причиной серьезных финансовых потерь.

4 способа, чтобы удалить троян с телефона Андроид

Если на вашем смартфоне обнаружился вредоносный код, то нужно срочно от него избавиться. Ведь трояны получили свое название за принцип действия – они внедряются в систему, а затем выступают в роли передатчика, переправляя владельцу вируса информацию о ваших действиях в смартфоне и конфиденциальные сведения. Поэтому расскажем, как удалить троян с телефона Андроид.

Удаляем троян с помощью специальных антивирусных программ

Для телефона выпущено много приложений, которые используются для борьбы с вирусными атаками. Производители рекомендуют обязательно установить антивирус, чтобы у вас была защита от внедрения вредоносного кода.

Если вы ищете ответ на вопрос, как удалить вирус трояна с телефона, то вероятнее всего у вас ранее не стояла защитная утилита либо вы выбрали некачественное ПО.

Приведем примеры проверенных временем и пользователями антивирусных программ и расскажем о работе с ними.

Anti-Malware

Скачать Anti-Malware

Эта утилита хорошо известна пользователям компьютеров, для смартфонов аналог появился сравнительно недавно. Загрузить его можно из магазина приложений или официального сайта разработчика. После первого запуска сделайте следующее:

• согласитесь с условиями использования утилиты;
• войдите в меню сканирования;
• запустите проверку;
• дождитесь результатов.

Утилита находит все вредоносные коды на вашем телефоне, а также следы их деятельности (поврежденные файлы и прочие). Автоматически вам будет предложено очистить смартфон.

После решения проблемы, как удалить троян с Андроида без рут, программа останется полезной для вас.

Она в режиме реального времени защитит телефон от угроз из вне, в том числе от неосторожных действий пользователя (блокируется переход по сомнительным ссылкам).

Trojan Killer

Простой программой не решить вопрос, как удалить троян с Андроида. Geoluxis (вирус, внедряемый в систему геолокации), например, практически невозможно удалить антивирусами, кроме тех, которые узко направлены. В этом случае попробуйте применить Trojan Killer. Использовать его нужно по инструкции:

• найдите в Play Market эту утилиту и установите ее на свой смартфон;
• в меню приложений найдите иконку программы и нажмите на нее;
• запустите сканирование с главного экрана;
• удалите каждый обнаруженный троян при помощи зеленой кнопки справа от его называния.

Это программа не защитит вас в режиме реального времени, но зато она не займет много места на смартфоне и мастерски справляется с самыми опасными вилами вредоносных кодов.

Ручное удаление троянского ПО

Если при повторном сканировании после очистки телефона вы снова обнаружили троян, то необходимо запомнить его местоположение для удаления вручную. В этом случае операцию, как удалить троян с телефона, можно выполнить двумя способами.

Используем файловый менеджер

В этом случае вам потребуется скачать ES Проводник, который отображает скрытые файлы. После его установки необходимо выбрать инструкцию в соответствии с местом расположения трояна:

1. Вирус находится среди хранимой информации в памяти смартфона. В этом случае достаточно найти и удалить вредоносный код. Пользователю даже не потребуются Root-права.
2. Троян располагается в папках, связанных с работой системы. Удаляется только при наличии прав суперпользователя.
3. Заражено обычное приложение. Удалите его через меню настроек.
4. Вредоносный код повредил системную утилиту – остановите ее в диспетчере задач, а затем сотрите, используя Root-доступ.

После ручного удаления, проверьте состояние телефона антивирусной утилитой. Это позволит избавиться от дополнительных уязвимостей.

Как удалить троян с телефона с помощью компьютера

Андроид как модем USB

Удалить троян с телефона через компьютер можно двумя способами. Перед каждым вам необходимо будет подключить смартфон к устройству в режиме USB-накопителя. Затем действуйте одним из способов:

Parse error: syntax error, unexpected end of file in /var/www/smartbobr.ru/data/www/smartbobr.ru/wp-content/plugins/advanced-ads/classes/ad_type_plain.php(121) : eval()'d code on line 10

1. Проверьте устройство при помощи антивируса компьютера. Как правило, это программное обеспечение более совершенно и имеет обширные базы, в которых есть записи о самых новых и сложных вариантах вредоносного кода.
2. Вручную найдите папку с вирусом и удалите его файл. Часто трояны хранятся скрыто и защищены от удаления. Чтобы найти вредоносный код используйте программу для компьютера Total Commander, а защиту от удаления проведите при помощи Unlocker.

После завершения работы, перезагрузите смартфон и снова проверьте его антивирусной утилитой. В большинстве случаев вы избавитесь от вируса.

Что делать, если троян не удаляется?

Если все ваши усилия не привели к успеху, то решить проблему, как удалить троян с телефона Андроида, можно при помощи крайних мер. Важные фото и видео сохраните на облачном диске (если среди них не скрыт вирус), а затем используйте последовательно – сброс настроек и перепрошивку, если первый метод не помог.

Сброс настроек

Жесткий сброс можно сделать через обычное или системное меню.

1. В первом случае вам потребуется найти в настройках пункт «Восстановление и сброс». Нажмите на него и согласитесь с условиями. Телефон после перезагрузки вернется в свое исходное состояние, удаляться даже обновления устройства и операционной системы. После загрузки телефона необходимо будет выждать время, чтобы устройство автоматически скачало нужные файлы и настроилось. Не торопитесь устанавливать свои приложения, в первую очередь скачайте антивирус и проверьте состояние устройства.
2. Второй вариант сброса проводится во время перезагрузки смартфона. Как только появится стартовый экран, нажмите одновременно клавиши питания и уменьшения громкости. Если все сделано правильно, вы попадете в режим Recovery. При помощи клавиш питания и громкости найдите в этом меню пункт Hard Reset, подтвердите свой выбор.