Что такое android zbot

Содержание

Банковский троянец — Android.ZBot
Android.ZBot.1.origin
Банковский троян Android.ZBot угрожает владельцам Android-устройств
Банковский троянец использует «веб-инжекты» для кражи конфиденциальных данных

Банковский троянец — Android.ZBot

Первая модификация утилиты Android.ZBot (банковский троянец) была обнаружена специалистами еще в начале 2015 года. В специализированн ые базы «Доктор Веб» тогда она попала как Android.ZBot.1.origin. После этого аналитики компании продолжили отслеживать активность данного вируса.

Как и большинство вирусов данного класса Android.ZBot.1.origin распространяется под видом безобидной утилиты через взломанные сайты или сторонние каталоги, а также путем загрузки другим вредоносным ПО. После активации на зараженном устройстве опасное приложение запрашивает у пользователя повышение привилегий в системе. Если пользователь соглашается на активацию root-прав, программа отображает на экране сообщение об ошибке, а также предложение перезагрузить устройство.

Если владелец инфицированного устройства отказывает в повышении прав, троянское приложение старается украсть всю информацию о банковской карте пользователя. Для этого на экран выводится поддельная форма, имитирующая окно привязки банковской карты в каталоге Google Play.

Далее троянская утилита удаляет свою иконку с экрана приложений, и начинает постоянно отслеживать системные события, связанные со стартом системы. Это позволяет вирусу обеспечить себе незаметный автоматический запуск при включении зараженного Android-устройства. Как только троянское приложение получает управление, оно соединяется с внешним сервером, регистрирует на нем атакованное устройство и ждет получения дальнейших инструкций.

К примеру, сразу после регистрации устройства на сервере, троянцу присылается команда на проверку баланса банковской карты. Если вирус обнаруживает наличие средств на балансе, он запускает процесс перевода средств на счета злоумышленников. Это делается при помощи соответствующих SMS-команд, при этом перевод делается незаметно, поскольку приложение способно контролировать входящие сообщения от сервиса банка (коды подтверждения, оповещение об успешном переводе и т.д.).

Одна из основных особенностей вируса – способность похищать пароли от мобильного банкинга. Осуществляется это при помощи поддельных окон с формой ввода пароля и логина.

Нужно быть крайне осторожным, а сэкономленные деньги тратить на полезные вещи – купить красивый номер МТС. Все, что вам необходимо сделать для проведения покупки, позвонить или написать менеджеру нашей компании. Всегда поможет в выборе и сделаем все для того, чтобы номер соответствовал вашим требованиям и предпочтениям.

Источник

Android.ZBot.1.origin

Добавлен в вирусную базу Dr.Web: 2015-12-16

Описание добавлено: 2015-12-15

SHA1:
e2eb0b0c87b81d68b3f3f9675d3fda7a7bf8ba27
0004194f6ef57fe77fd23734a897e74fda56ebb0
393504cbfb30995b79378acea39b00bdda9deec7
37c2f95c3be60ba021c5e96cc02d278c55377656
8f9b50530d74a93582af54cc60faa412e6513b32
88a95ea5a37bf1bc56780327f639dc7806cea9bf
0004194f6ef57fe77fd23734a897e74fda56ebb0 (обфусцированная версия, детектируется как Android.ZBot.2.origin)
dc7b430bc5bb002c8bc8312050d2063d4e9e935d (обфусцированная версия, детектируется как Android.ZBot.3.origin)

Троянская программа-банкер, работающая на смартфонах и планшетах под управлением ОС Android и предназначенная для кражи денег с банковских счетов пользователей. Попадает на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, загружаясь с них под видом безобидных программ, либо скачивается другим вредоносным ПО.

При первом запуске Android.ZBot.1.origin пытается получить доступ к функциям администратора мобильного устройства, после чего выводит сообщение об ошибке и предлагает выполнить перезагрузку. Затем троянец удаляет свой значок с экрана приложений.

Если пользователь отказывается предоставить вредоносной программе необходимые полномочия, Android.ZBot.1.origin пытается похитить у него данные о кредитной карте, показывая поддельную форму настроек платежного сервиса приложения Google Play. Аналогичное окно троянец может показывать через некоторое время после установки на целевом устройстве.

Для обеспечения автозапуска при последующих включениях зараженного смартфона или планшета Android.ZBot.1.origin при помощи класса OnBootReceiver отслеживает следующие системные события, связанные с началом работы ОС:

android.intent.action.BOOT_COMPLETED – сигнал об окончании загрузки устройства;
android.intent.action.QUICKBOOT_POWERON – сигнал о начале работы устройства в случае если оно использует режим Fast Boot вместо классического метода перезагрузки.

Получив управление, троянец запускает вредоносный сервис UpdateService, который отслеживает активность пользователя при работе с устройством (android.intent.action.SCREEN_OFF, android.intent.action.SCREEN_ON), а также при помощи класса AsyncTask активирует работу асинхронных задач, используемых для связи с управляющим сервером. В частности, с их помощью Android.ZBot.1.origin отправляет на удаленный узел информацию о зараженном устройстве, после чего получает дальнейшие команды в формате JSON (Java Script Object Notation). Кроме того, через асинхронные задачи на сервер также передаются вводимые пользователем конфиденциальные сведения, информация обо всех действиях троянца и возникающих при его работе ошибках.

По команде киберпреступников Android.ZBot.1.origin может выполнить в том числе такие действия:

отправить СМС с заданным текстом на указанный номер;
совершить телефонный звонок;
отправить СМС по всем телефонным номерам из книги контактов;
перехватить входящие СМС;
получить текущие GPS-координаты;
показать специально сформированное диалоговое окно поверх заданного приложения.

Так, после регистрации зараженного устройства на сервере злоумышленников троянец получает команду на проверку текущего баланса банковских счетов владельца зараженного устройства и, в случае наличия на них денег, переводит заданную сумму на счета злоумышленников. При этом вредоносная программа перехватывает и автоматически обрабатывает все поступающие СМС с кодами подтверждений, в результате чего жертва кражи не сразу узнает о пропаже средств.

Источник

Банковский троян Android.ZBot угрожает владельцам Android-устройств

Крадущие деньги с банковских счетов троянцы в настоящее время представляют серьезную угрозу для владельцев мобильных устройств под управлением Android. Одним из таких вредоносных приложений является банкер Android.ZBot, различные модификации которого атакуют смартфоны и планшеты пользователей с февраля текущего года.

Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы (в данном случае – приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.

Если же пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.

Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников.

На данный момент вирусным аналитикам компании «Доктор Веб» известно о нескольких модификациях вредоносного приложения Android.ZBot.1.origin, которое киберпреступники применяют преимущественно против российских пользователей. В частности, обнаруженная в феврале первая версия троянца до сих пор весьма активна: только в прошедшем ноябре зловред был зафиксирован на более чем 1 100 устройствах. А за весь период наблюдений на Android-смартфонах и планшетах троянец был найден в общей сложности 25 218 раз.

Эксперты рекомендуют владельцам смартфонов и планшетов под управлением Android использовать для загрузки приложений только проверенные источники ПО и не устанавливать подозрительные программы.

Источник

Банковский троянец использует «веб-инжекты» для кражи конфиденциальных данных

Троянец Android.ZBot может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников.

Крадущие деньги с банковских счетов троянцы в настоящее время представляют серьезную угрозу для владельцев мобильных устройств под управлением ОС Android. Одним из таких вредоносных приложений является банкер Android.ZBot, различные модификации которого атакуют смартфоны и планшеты российских пользователей с февраля текущего года.

Данный троянец интересен тем, что может похищать логины, пароли и другую конфиденциальную информацию при помощи показываемых поверх любых приложений мошеннических форм ввода, внешний вид которых генерируется по команде киберпреступников. При этом сами формы «привязываются» к атакуемым программам, создавая иллюзию того, что они настоящие и принадлежат соответствующему ПО. Полученные специалистами компании «Доктор Веб» данные говорят о том, что зараженные Android.ZBot устройства объединяются в бот-сети, при этом число последних в настоящий момент составляет более десятка. Однако не исключено, что со временем их количество будет только расти, т. к. вирусописатели по-прежнему активно распространяют эту вредоносную программу.

Первая модификация банковского троянца Android.ZBot была обнаружена еще в феврале этого года и получила по классификации Dr.Web имя Android.ZBot.1.origin. Начиная с этого момента вирусные аналитики компании «Доктор Веб» стали пристально следить за активностью данного вредоносного приложения.

отправляет СМС с заданным текстом на указанный номер;
совершает телефонный звонок;
отправляет СМС по всем телефонным номерам из книги контактов;
перехватывает входящие СМС;
получает текущие GPS-координаты;
показывает специально сформированное диалоговое окно поверх заданного приложения.

Например, сразу после того как на управляющем сервере регистрируется новое зараженное устройство, троянец получает команду на проверку состояния банковского баланса пользователя. Если вредоносная программа обнаруживает наличие денег, она автоматически переводит заданную злоумышленниками сумму на подконтрольные им счета. Таким образом, Android.ZBot.1.origin может получить доступ к управлению банковскими счетами владельцев мобильных Android-устройств и незаметно для пользователей похитить деньги при помощи специальных СМС-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от банков сообщения с проверочными кодами транзакций.

Примечательно, что часть вредоносного функционала Android.ZBot.1.origin (например, отправка СМС-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.

Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать различную конфиденциальную информацию при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, но механизм ее любопытен. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В настоящий момент троянец контролирует запуск следующих приложений:

ru.sberbank.ivom
ru.sberbank_sbbol
ru.raiffeisennews
ru.vtb24.mobilebanking.android
PSB.Droid
com.idamob.tinkoff.android
ru.simpls.brs2.mobbank
ru.kykyryza
com.smpbank.android
ru.ftc.faktura.sovkombank
hu.eqlsoft.otpdirektru
ru.ftc.faktura.sovkombank
uk.co.danwms.fcprem
ru.sberbankmobile
ru.alfabank.mobile.android
ru.alfabank.oavdo.amc
com.openbank
ru.ucb.android
com.idamobile.android.hcb
com.idamobile.android.ubrr
com.NGSE.Ubrir
com.citibank.mobile.ru
com.ubrir
ru.rshb.mbank
com.bssys.android.SCB
ru.bpc.mobilebank.android
ua.privatbank.ap24.old
ru.bspb
com.svyaznoybank.ui
ru.avangard
ru.minbank.android
ru.letobank.Prometheus
rusfinance.mb.client.android
com.artofweb.mkb
com.compassplus.InternetBankingJava.wscb
ru.stepup.MDMmobileBank
ru.abr
com.intervale.mobilebank.rosbank
ru.pkb
ru.stepup.vbank
ru.vbrr
com.idamobile.android.Trust
org.bms.khmb
ru.tcb.dbo.android
ru.beeline.card
ru.rocketbank.r2d2

Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.

Источник