 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
18 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Зловред полностью контролирует работу с SMS, открывает поддельные формы оплаты и блокирует телефон, требуя выкуп.
Специалисты «Лаборатории Касперского» проанализировали алгоритм работы мобильного трояна Rotexy, нацеленного на кражу номеров банковских карт. Программа впервые появилась на радарах ИБ-аналитиков в 2014 году и с тех пор постоянно развивается. Эксперты отметили, что кроме кражи финансовой информации зловред блокирует экран смартфона и требует выкуп за восстановление работоспособности устройства.
Вредонос попадает на смартфон под управлением ОС Android по ссылке из SMS-спама под именем AvitoPay.apk и проверяет, не находится ли он в виртуальной среде, а также в какой стране произошел запуск. Троян нацелен на русскоязычных владельцев устройств под управлением ОС Android и не заражает пользователей, находящихся за пределами России.
Если проверка прошла успешно, Rotexy запрашивает у жертвы права администратора, а в случае отказа повторяет уведомление с интервалом в 1 секунду. Для общения с командным сервером злоумышленников программа способна принимать команды, используя C&C-сервер, SMS и короткие сообщения службы Google Cloud Messaging.
Как выяснили исследователи, вредоносная программа полностью контролирует работу с SMS на инфицированном устройстве. В зависимости от полученных инструкций Rotexy может скрыть сообщение от жертвы и переслать его содержимое злоумышленникам, ответить на него или создать в памяти телефона новое SMS с произвольным текстом. Если же правила обработки не заданы, троян сохраняет все входящие в локальной базе и передает на командный сервер.
Злоумышленников особо интересуют уведомления о финансовых транзакциях — троян находит в них последние четыре цифры номера банковской карты жертвы и использует эту информацию для фишинга. Программа открывает на устройстве фальшивое окно ввода платежных реквизитов и блокирует все функции телефона, пока пользователь не введет необходимые сведения. Если данные карты не совпадают с украденными из SMS, Rotexy требует повторить заполнение формы.
Кроме перехвата сообщений, зловред способен устанавливать на инфицированный телефон любые приложения, полученные с командного сервера, отправлять злоумышленникам список контактов и копировать служебную информацию об устройстве. Программа может включать и выключать мобильный Интернет, управлять подключением к Wi-Fi, а также гасить экран смартфона и активировать беззвучный режим. Для распространения трояна авторы предусмотрели возможность отправки SMS со ссылкой на установочный комплект Rotexy всем абонентам адресной книги жертвы.
Возможности вымогателя авторы добавили в программу в 2017 году. По команде киберпреступников Rotexy сообщает пользователю, что его телефон заблокирован службой интернет-контроля ФСБ России за просмотр порнографических материалов, и предлагает оплатитьс банковской карты «штраф». После этого пользователя переводят на специально созданную страницу оплаты, все данные с которой отправляются злоумышленникам. Как выяснили специалисты «Лаборатории Касперского», для восстановления работоспособности мобильного устройства достаточно отправить на его номер несколько SMS c командами, отключающими эту функцию трояна.
Создатели Rotexy приняли меры для сохранения программы в памяти устройства, поэтому для полного удаления зловреда требуется перезагрузить телефон в безопасном режиме. При первом запуске троян создает процесс с именем SuperService, который контролирует наличие прав администратора. Скрипт мешает пользователю снять привилегии, отключая экран смартфона, а при необходимости в бесконечном цикле повторяет запрос на их восстановление.
В этом месяце «Лаборатория Касперского» опубликовала отчет, из которого стало известно, что Россия занимает первое место по атакам банковских троянов. Более 2% пользователей антивирусных программ разработчика сталкивались в третьем квартале 2018 года с кампаниями, нацеленными на кражу финансовых данных. Большинство из них связано с зловредом Asacub, который был идентифицирован в 29% инцидентов.
 |
нравится | не нравится |  |
Рейтинг: | 3 |
Всего голосов: 5 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
