Android bankbot 75 origin что это
Вирус BankBot для Android, последствия, как с ним бороться и как в будущем предотвратить атаки
BankBot — вирус-вымогатель, который постарается сделать все, чтобы очистить Ваши карты.
Распространяется в основном пользователям сервиса Авито, разместившим объявление о продаже товара. Пользователю сервиса поступает SMS-сообщение с ссылкой и неким сопроводительным текстом, например, если Вы продаете детский комбинезон, то сообщения могут быть следующего содержания: «Ольга, вам зачислена предоплата 400 руб. за комбинезон, чек по ссылке» или «я перевела вам 400р за комбинезон, примите по ссылке». Т.е. в сообщении может быть обращение по имени, может быть указан товар и другие фразы, которые заставят Вас задуматься и остановиться на сообщении. Ссылки могут содержать название одноименного сервиса, чтобы ввести в заблуждение жерву, например avito-fin.ru/…, avito-prt.ru. и т.д., а могут быть и shcet217.ru/… и другие.
Дальше, при переходе по ссылке Вы увидите привычный дизайн сайта avito.ru (клон), где предлагается скачать и установить некую программу (может иметь разные названия Avito-Pay, Avito (на английском)) со значком Авито, чтобы не возникало подозрений, с подробной инструкцией по установке приложения и порядком действий по отключению защиты, в случае, если смартфон начнет сопротивляться установке приложения из неизвестных источников.
Скачав и установив приложение, вирус начинает блокировать работу некоторых приложений на смартфоне, например, WhatsApp, делая невозможным их запуск, т.к. на экране будет появляться сообщение, которое будет добиваться от Вас того, чтобы Вы предоставили доступ администратора заблокированной любимой программе, но на самом деле доступ Вы предоставите вирусу!
После этого, вирус получает полный контроль над смартфоном, Вы не сможете:
- удалить его через список приложений, т.к. вирус заблокирует это действие;
- удалить его антивирусом, т.к. вирус будет пресекать эти действия;
- исключить из администраторов устройств в настройках.
Но зато он сможет:
- отправлять злоумышленнику любые данные, включая контакты, sms/push сообщения, пароли, фотографии и др.;
- отслеживать все, что Вы вводите;
- блокировать работу любого приложения;
- подменять приложения;
- контролировать работу интернет-банка некоторых Российских банков;
Затем вирус блокирует экран смартфона сообщением с требованием обновить данные платежной карты Google Play или указать карты для зачисления некого платежа. Работа со смартфоном становится невозможной, т.к. сообщение размещено поверх всех других окон.
Развязка: после ввода номера карты с Вашей карты начнут тихо исчезать кровно заработанные средства, причем все SMS и PUSH сообщения программа перехватит и перешлет злоумышленнику, а Вы ничего не увидите.
Что нужно сделать в первую очередь, когда заподозрите, что на смартфоне вирус (быстрый разряд аккумулятора, может проскочить сообщение о списании денежных средств, невозможность просмотреть смс-сообщения, другие блокировки и «ненормальное поведение» смартфона):
- Позвоните в банк — заблокируйте платежную карту (номер телефона указан на карте);
- Вытащите сим-карту, отключите интернет (wifi);
- Смените пароль Вашей электронной почты. Это необходимо делать на другом смартфоне/планшете/компьютере. Зная пароль к почте можно сбросить пароль на всех сайтах и сервисах на которых Вы указывали свой почтовый адрес;
- Идите в банк и пишите заявление на мошеннические действия с картой. Если денежные средства получателя не были переведены дальше (на другую карту или другой кошелек), то есть шанс отменить транзакции до расчетов банков между собой. Тут все зависит от скорости работы банка, если есть возможность узнать, кто является банком-эквайером (банк обслуживающий торговую/интернет точку в которой расплатились Вашей картой), то звоните срочно в этот банк и сообщите, что транзакция по Вашей карте несанкционирована. Не забудьте получить выписку по счету с несанкционированными операциями, она Вам пригодится в полиции.
Во вторую очередь:
- Подключите телефон к компьютеру и если это возможно, то скопируйте важные данные (фотографии/видео)
- Избавьтесь от вируса, здесь поподробнее:
1. Перезагрузите телефон и войдите в безопасный режим (Safe mode):
безопасный режим появился в версии Android 4.1., в этом режиме работают только программы установленные производителем. Перезагрузить обычным действием у Вас скорее всего не получится, т.к. вирус блокирует действие кнопки питания, поэтому попробуйте зажать кнопку питания и клавишу уменьшения громкости и подержать несколько секунд. Если не получается, то поищите в интернете как принудительно перезагрузить смартфон конкретно для Вашей модели. необходимо в интернете найти. При загрузке смартфона, в момент когда появляется логотип производителя, нажмите и удерживайте клавишу уменьшения громкости до окончания загрузки. Если телефон вошел в безопасный режим, то в левом нижнем углу будет надпись «Безопасный режим» или «Safe mode»
2. Заберите доступ администратора у вируса:
В зависимости от версии Android и модели смартфона путь к настройкам отключения доступа администратора отличается. Ищите настройку с названием «Администраторы устройств» в разделе связанным с безопасностью. Например возможны следующие пути:
- Настройки -> Защита и заблокированный экран -> Приложения администратора устройства
- Настройки -> Биометрические данные и безопасность -> Экран блокировки и защита -> Другие параметры безопасности -> Администраторы устройств
- Настройки -> Безопасность -> Администраторы устройств
- Настройки -> Дополнительно -> Конфиденциальность -> Администраторы устройств
Затем отключите административный доступ у вируса, вирусное приложение может называться по-разному, может «Avito», может «Avito Pay», «Неизвестное приложение» и т.д. Если не знаете, то отключайте все приложения, потом включите при необходимости.
3. Удалите вирус из списка приложений: Настройки -> Приложения — находите вирус и«Удалить». Если не знаете как называется приложение с вирусом то удаляйте постепенно все приложения, даже если считаете, что это приложение не вирус, т.к. вирусное приложение может иметь любое наименование приложения.
4. Перезагрузите смартфон для выхода из безопасного режима. Если после загрузки смартфона все побочные эффекты вируса (кнопка питания/выход в настройки) исчезли, то переходите к следующему пункту, иначе повторите выше и если все равно ничего не помогает, то необходимо сделать сброс телефона, но при этом, скорее всего буду потеряны все пользовательские данные и установленные приложения. В зависимости от модели смартфона комбинация для сброса может отличаться, но обычно необходимо при включении зажать клавишу громкости вниз, появится меню Recovery, после чего выполнить пункт wipe data. Но еще раз повторю, что возможно будут потеряны все данные, поэтому предварительно постарайтесь перенести на компьютер все необходимые данные.
5. Зайдите в Google Play и загрузите антивирусное приложение, например Dr.Web Light или Kaspersky Internet Security. Запустите антивирус и удалите все, что он найдет.
В третью очередь:
- Напишите заявление в полицию на мошеннические действия;
- Смените пароли от всех установленных интернет-банков и других сервисов и сайтов;
- Не переходите по ссылкам из SMS. Давно никто не присылает ссылки в SMS, а если и присылают, то это должно быть ожидаемо и загружать дополнительно ничего не требуют.
- Всегда смотрите на каком сайте Вы находитесь, имя сайта не должно отличаться ни на один символ от оригинала. И обязательно сайт должен быть защищен сертификатом (в браузере отображается зеленый замочек рядом с адресом);
- Не запускайте никакие программы на смартфоне загруженные из интернет через браузер, речь идет о файлах с расширением *.APK. Только приложения через Google Play, и то обращайте внимание на рейтинг, на количество загрузок и читайте отзывы к загружаемому приложению. Чем больше загрузивших, тем меньше вероятность, что в приложении находится вирус;
- Поставьте антивирусное ПО, пусть оно дополнительно контролирует все, что вы загружаете;
- Не вводите номер карты и особенно CVV/CVC-код, если вдруг неожиданно, Вас попросили ввести данные карты, чтобы что-то подтвердить.
- Сделайте виртуальную платежную карту и используйте эту карту для расчетов в интернет. Некоторые банки предоставляют эту возможность бесплатно.
- Изменяйте расходный лимит на карте по мере необходимости, увеличивайте лимит при операциях на крупные суммы и затем возвращайте на лимит на тот уровень, который Вы готовы потерять.
- И для избранных — заведите второй телефон и настройте sms-уведомления о платежах и кодах подтверждения на этот телефон. И естественно эти коды никому сообщать нельзя! Этот код — аналог Вашей подписи. Неудобно, зато безопасно.
В основном, мошенники используют методы социальной инженерии, втираясь в доверие к жертве, обращаясь по имени или называя еще какие-либо данные, которые Вы считали личными или конфиденциальными. Будьте бдительны!
Если что-то делаете в интернет и возникает хоть малейшее подозрение, что Вы делаете что-то не то, что так круто, такого не может быть, или если в процессе разговора с незнакомцем по телефону чувствуете, что Вас психологически держат и не дают повесить трубку (угрожают или обещают золотые горы) — сделайте паузу, скажите тому «до свидания», позвоните близкому человеку и посоветуйтесь, все ли правильно вы делаете.
Источник
Банковский троян BankBot
Второй год в интернете успешно распространяется вирус BankBot. Создатели модифицируют его раз за разом, маскируясь от антивирусов и заманивая пользователей простенькой игрой или подборкой юмористического контента. Как вы уже догадались, банковский троян BankBot публиковался в Google Play, последняя версия Android BankBot была выловлена в конце сентября.
Работа трояна BankBot
Для управления чужим телефоном авторы трояна решили не связываться с эксплоитом и просто настойчиво просят об этом пользователя. В данном случае приложение пытается получить доступ ко всему, к чему можно, — от чтения окон до эмуляции нажатий.
Забавно, что злоумышленники вовсю эксплуатируют социальную инженерию, без всякой ложной скромности назвав свое поделие Google Service. Пользователя убеждают, что какая-то очень важная функция не будет работать без его вмешательства.
Неправильный Google Service
Мы уже не раз писали про волшебную силу AccessibilityService. Как видите, некоторым она даже помогает финансово.
Злоумышленники также нещадно эксплуатируют возможности системных окон, не позволяя пользователю что-либо сделать в телефоне, в то время как троян устанавливает дополнительные модули и меняет настройки телефона.
Любопытно, что Google наконец-то отреагировала на проблему и пометила флаг TYPE_SYSTEM_ALERT как устаревший (depticated) — это означает, что в новых версиях API он будет исключен вообще.
Начиная c Android Oreo (это 8-я версия ОС, вышла в августе) вводится флаг TYPE_APPLICATION_OVERLAY, который не закрывает меню и системные уведомления.
Защита от BankBot
Вам нужно быть очень внимательными, когда устанавливаете новое приложение и предоставляете разрешения. Если приложение, которые вы хотите установить запрашивает слишком много разрешений, необходимо задуматься над тем, стоит ли устанавливать его. На худой конец, если все же решите устанавливать, не забудьте про проверку приложений на вирусы, и про правильную установку подозрительных приложений.
Как удалить BankBot
- Для начала попробуйте зайти в «Настройки – Приложения» и проверить, имеется ли там приложение под названием Android BankBot. Если вы обнаружили его, сразу же удаляйте.
- Для удаления трояна используйте антивирус Dr.Web. Если не поможет, тогда только верните заводские настройки с помощью Хард Резет. Как это сделать в вашей модели телефона вы можете найти в сети.
- Если и это не поможет, тогда вам остается менять прошивку.
Вас может заинтересовать статья «Google Play Вирус«, в которой мы рассказывали о том, как вирусы попадают в Google Market.
Источник
Android bankbot 75 origin — как удалить?
Недавно был опубликован исходный код банковского трояна на Android под названием android bankbot 75 origin. Разработчики антивируса Dr.Web сообщают, что троян является очень высокого качество, поэтому нужно быть очень осторожными.
Банковские трояны на Android обычно продаются за десятки тысяч долларов или сдаются в аренду за процент от украденных средств. Широкая распространенность вируса android bankbot 75 origin может привести к значительному ущербу для многих пользователей. В данной статье мы рассмотрим, чем опасен, где скрывается и как удалить android bankbot 75 origin.
Что такое android bankbot 75 origin?
Как сообщается, троян Android bankbot 75 origin ориентирован только на пользователей российских банков. Согласно информации Dr.Web, вирус находится на смартфоне в ожидающем состоянии, пока пользователь не откроет мобильное банковское приложение или приложение социальной сети.
В настоящее время android bankbot 75 origin может использовать следующие приложения: Facebook, Viber, WhatsApp, Youtube, Uber, Snapchat, WeChat, IMO, Instagram, Twitter и Google Play Store.
Когда пользователь открывает приложение, троян показывает поддельное окно для входа в систему с запросом ввести информацию о платежной карте. После этого данные отправляются на сервер мошенников, где они используются для входа в банковскую систему пользователя и перевода средств.
Когда деньги выведены из банковского счета жертвы, троян android bankbot 75 origin удаляет все входящие SMS-сообщения на мобильном устройстве. Таким образом, пользователь не может доказать, что это не он перевел средства.
Список последних зараженных устройств вирусом Android bankbot 75
Другие особенности android bankbot 75 origin включают в себя возможность отправки SMS-сообщений и USSD запросов, копирования списка контактов, отслеживание расположения пользователя через координаты GPS и запрос дополнительных разрешений через всплывающие окна на последних версиях Android.
Некоторые пользователи сообщают, что троян android bankbot 75 origin скрывается под приложением last-browser-update.apk. Если на вашем Android устройстве появилось уведомление с загрузкой этого приложения, ни в коем случае не устанавливайте его. Откройте папку загрузки и удалите этот файл. Если вы уже установили приложение, тогда используйте методы ниже, чтобы как можно быстрее удалить его.
Защита от android bankbot 75 origin
Банковский троян android bankbot 75 origin начинает работу с того, что запрашивает права администратора и другие разрешения для управления мобильным устройством. Это означает, что вам нужно быть очень внимательными, когда устанавливаете новое приложение и предоставляете разрешения. Если приложение запрашивает слишком много разрешений, необходимо задуматься над тем, стоит ли устанавливать его.
Как удалить android bankbot 75 origin
В статье «Как обнаружить и удалить Android Xiny Origin» мы рассказывали, как можно проверить смартфон на наличие вирусов и удалить их. Вы можете использовать представленный метод, чтобы удалить android bankbot 75 origin. Используйте мобильный антивирус Dr. Web Antivirus Light, чтобы удалить android bankbot 75 origin.
Также рекомендуется перейти в меню Настройки – Приложения и проверить, имеется ли приложение под названием android bankbot на вашем Android устройстве. Если вы обнаружили его, сразу же удаляйте.
Крайний случай – это выполнить хард ресет и вернуть заводские настройки. Поищите в интернете, как выполнить сброс настроек для вашей модели смартфона. Если проблема все еще не решена, вам необходимо переустановить прошивку.
В статье «5 самых опасных вирусов на Android, и как избавиться от них» вы можете прочитать про другие самые вирусы на Android устройства.
Источник