Android.BankBot.104.origin - банковский троян, атакующий любителей мобильных игр


Android.BankBot.104.origin - обфусцированная версия банковского трояна, предназначенная для заражения мобильных устройств под управлением ОС Android.

Распространяется троян-банкер Android.BankBot.104.origin под видом ПО для взлома популярных мобильных игр, а также под видом программ для читерства. Поэтому основной целью данного вредонсного ПО стали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. Злоумышленники специально создали мошеннические веб-сайты для любителей "халявы". В результате, когда пользователи в популярных поисковых системах будут искать информацию о читах для облегчения прохождения игр (например, возможности получить бесконечное золото, кристаллы и другую игровую валюту), либо захотят скачать взломанную версию любимого игрового приложения, то в результатах поиска будут демонстрироваться ссылки именно на такие веб-ресурсы.

Reklama programmi dlya vzloma prilojeniy 1 Reklama programmi dlya vzloma prilojeniy 2

Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр. Поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Интересно, но данные сайты имеют действительную цифровую подпись, в результате чего потенциальные жертвы не усомнятся в их безопасности.

При попытке скачать с таких веб-порталов то или иное приложение, владелец мобильного устройства будет перенаправлен на еще один мошеннический сайт. А уже с этого сайта под видом взломанных версий ПО или программ для читерства скачивается банковский троян Android.BankBot.104.origin. Помимо этого вредоносного приложения, на мобильные устройства могут также загружаться и другое вредоносное ПО, в частности, представители семейства банкеров Android.ZBot.

Android.ZBot pod vidom prilojeniya dlya vzloma

Троян Android.BankBot.104.origin защищен специальным упаковщиком. Это позволяет снизить вероятность обнаружения антивирусами и затрудняет анализ. А в связи с тем, что вирусописатели постоянно создают новые перепакованные версии трояна-банкера, то вредоносное приложение может обнаруживаться под разными именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского трояна Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

Android.BankBot.104.origin tyajeloe obnarujenie

Устанавливается Android.BankBot.104.origin на Android-устройства как приложение с именем "HACK". После своего запуска приложение пытается получить доступ к функциям администратора устройства. Затем троян удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

Android.BankBot.104.origin ustanovka prilojeniya Hack 1 Android.BankBot.104.origin ustanovka prilojeniya Hack 2

После этого зловред приступает к непосредственному выполнению вредоносной деятельности. В частности, он пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. В случае если Android.BankBot.104.origin обнаруживает деньги, тогда он пытается незаметно перевести их на счета злоумышленников.

Также киберпреступники могут дистанционно управлять банкером. Например, по команде с управляющего сервера троян способен:

  • call_number – включить переадресацию на указанный в команде номер;
  • sms_grab – установить таймер скрытия входящих СМС. Если сообщение приходит в определенный период, троян "прячет" все уведомления и удаляет СМС;
  • sms_send – отправить СМС;
  • ussd – выполнить USSD-запрос;
  • delivery – разослать всем контактам из телефонной книги СМС-сообщения с заданным текстом;
  • new_url – изменить адрес управляющего сервера;
  • install_true – записать изменение флага inst в конфигурационном файле (AppPrefs).