Android-троянец атакует клиентов нескольких российских банков


Android.BankBot.33.origin - новая троянская программа-бот, заражающая мобильные Android-устройства и выполняющая на них различные действия по команде злоумышленников. При этом главная опасность этого вредоноса в том, что он способен похищать деньги с банковских счетов пользователей, причем жертвами подобных атак могут стать клиенты сразу нескольких российских кредитных организаций.

Распространяется троян Android.BankBot под видом различных приложений и может быть установлен на смартфон или планшет только его владельцем. Кроме того, в настройках операционной системы обязательно должна быть разрешена установка программ из сторонних источников.

Android.BankBot.33.origin calc

После своего запуска вредоносная программа пытается получить права администратора мобильного устройства. Для этих целей на экране устройства настойчиво демонстрируется соответствующее системное уведомление, которое фактически не позволяет потенциальной жертве отказаться от выполнения запрошенного действия.

После того, как системные привилегии успешно получены, Android.BankBot.33.origin, в зависимости от модификации, выводит на экран сообщение об ошибке, либо отображает интерфейс приложения, под прикрытием которого и распространялся троян. И в первом и во втором случае, бот удаляет ранее созданный им ярлык, "прячась" таким образом от неопытных пользователей.

Android.BankBot.33.origin Activate device administrator Android.BankBot.33.origin Installyation failed Android.BankBot.33.origin calc Lock Android.BankBot.33.origin calc interface

Далее троян устанавливает соединение с удаленным узлом и загружает на него ряд сведений о зараженном мобильном устройстве. В частности, Android.BankBot.33.origin передает на сервер следующие данные:

  • IMEI-идентификатор;
  • IMSI-идентификатор;
  • текущее время, установленное в системе;
  • номер мобильного телефона;
  • версия трояна;
  • SID-идентификатор;
  • версия ОС;
  • модель устройства;
  • производитель устройства;
  • версия SDK системы;
  • идентификатор трояна.


В ответ сервер отправляет боту список команд, например:

  • установить время следующего соединения с командным центром;
  • изменить адрес командного центра;
  • занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
  • занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
  • убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
  • убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
  • отправить СМС-сообщение с заданным текстом на указанный в команде номер;
  • загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
  • попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
  • вывести в область уведомлений сообщение с заданным в команде текстом;
  • открыть в браузере заданный в команде веб-адрес;
  • отправить на управляющий сервер список контактов;
  • отправить на управляющий сервер список установленных приложений.


Главной опасностью данного вредоносного приложения является то, что оно способно функционировать в качестве банковского трояна и выполнять незаконные операции с денежными средствами владельцев Android-устройств. В частности, Android.BankBot.33.origin пытается получить информацию о текущем балансе банковского счета, либо списке подключенных к мобильному телефону пользователя банковских карт. Для этого бот отправляет соответствующий СМС-запрос в системы мобильного банкинга сразу нескольких российских кредитных организаций, а также одной из популярных платежных систем. В случае, если троян получит ответ, то при помощи специально сформированных СМС-команд он попытается автоматически вывести доступные денежные средства на принадлежащий злоумышленникам счет. При этом жертва даже и не догадывается о произошедшей краже. Причиной тому, способность Android.BankBot.33.origin перехватывать и блокировать СМС-уведомления о совершенных операциях.

Также вредоносная программа способна помочь киберпреступникам похитить аутентификационные данные учетной записи онлайн-банкинга пользователя. Для этого она загружает в браузере зараженного устройства поддельную страницу, имитирующую внешний вид настоящего интернет-портала банка. Там жертве будет предложено ввести конфиденциальные сведения для входа. В результате такой атаки могут быть скомпрометированы все банковские счета владельца зараженного Android-устройства, приведя к серьезным финансовым потерям.