Банковские трояны Bankosy и Cepsohord обходят защиту Android


SymantecКомпания Symantec установила, что новые версии мобильных банковских троянов Bankosy и Cepsohord научились обходить защиту Android.

Напомним, особенность мобильных банковских троянов - определять, какое приложение в настоящее время запущено на устройстве. После идентификации программы, вредонос отображает соответствующую ей фишинговую страницу, выманивая тем самым у жертвы данные банковской карты. Для борьбы с такими вредоносами, с выходом Android 5.0 Lollipop и Android 6.0 Marshmallow, компания Google отказалась от getRunningTasks() API - функция позволяющая определять открытые приложения. В результате многие банковские трояны наподобие Bankosy оказались бесполезными.

Однако параллельно с усилением безопасности операционной системы от Google, злоумышленники совершенствуют вредоносное ПО. Так, например, и новые варианты банковских троянов Bankosy и Cepsohord начали использовать для обхода механизмов защиты последних версий Android два способа:

  • один - предполагает получение от пользователя специального разрешения;
  • второй - не требует никаких дополнительных разрешений.


Применяя первый способ, зловред определят запущенную задачу. Для этих целей используется представленный в Android 5.0 интерфейс программирования приложений UsageStatsManager. С помощью этого API вредоносное ПО получает статистические данные об открытых приложениях за последние две секунды и вычисляет самую последнюю активность.

Чтобы использовать UsageStatsManager вредонос запрашивает у пользователя доступ на системном уровне "android.permission.PACKAGE_USAGE_STATS". А поскольку разрешение может быть получено только через приложение "Настройки", трояну приходится использовать методы социальной инженерии, заставляя пользователя предоставить доступ. Зловред запрашивает разрешение, отображая иконку и название браузера Chrome.

При втором способе используется опубликованный на GitHub популярный проекта с исходным кодом для определения открытого на устройстве приложения. И хотя он сам по себе не является вредоносным, злоумышленники сумели использовать его в своих преступных целях. Проект позволяет читать данные файловой системы "/proc/" для вычисления запущенных процессов и определения открытого приложения. В Symantec убеждены, что данный способ не будет работать с выходом следующей версии ОС от Google, известной как Android N.


Обновлено (03.06.2016 22:29)