SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Приложения из Google Play доставляли банкер Anubis

18 января 2019 г., пятница, 13:57

Зловред использовал датчик движения Android-смартфона, чтобы исключить запуск в песочнице.

После обращения ИБ-специалистов из каталога Google Play были удалены два приложения, загружавшие на Android-устройства банковский троян Anubis. Программы использовали датчики движения мобильного телефона, чтобы не проявлять вредоносную активность при запуске в песочнице, и применяли Telegram и Twitter для связи с командным сервером. Зловред похищал пользовательские данные через перехват работы с виртуальной клавиатурой и скриншоты экранов финансовых приложений.

Вредоносные функции были найдены в программе для экономии заряда батареи и конвертере валют. Как отмечают исследователи, одно из приложений имело более 5 тыс. загрузок и пользовательский рейтинг 4,5 из 5. Попав на устройство, зловред выводил на экран фальшивое уведомление об апдейте системного ПО, а после получения согласия на установку загружал полезную нагрузку.

Злоумышленники использовали необычную тактику для предотвращения запуска своей разработки на виртуальных машинах, которые используют ИБ-специалисты для изучения вредоносных программ. Троян анализировал датчики движения мобильного устройства, чтобы убедиться, что оно находится в руках человека. Если приложение в течение длительного времени не получало сигналов об изменении положения в пространстве, то не выполняло вредоносных действий.

Адрес командного сервера зловред получал через запрос к веб-странице одного из аккаунтов злоумышленников в Telegram или Twitter. Зашифрованный URL центра управления содержался в описании профиля, что позволяло оперативно менять хост без вмешательства в код программы. Кроме того, такой механизм затруднял обнаружение вредоносного приложения антивирусными сканерами.

Специалисты относят банкер, который загружался в ходе кампании, к семейству Anubis. Отличительной чертой зловреда является использование кейлоггера для перехвата финансовых и учетных данных, вводимых жертвой, в то время как большая часть подобных троянов используют для этих целей невидимый фрейм, накладываемый поверх окна финансового приложения. Кроме того, Anubis обладает возможностью отправлять злоумышленникам скриншоты экрана, а некоторые штаммы способны получать доступ к адресной книге и SMS.

Это не первый случай, когда банкер под видом приложения проник в Google Play. В июле прошлого года в репозитории обнаружили сразу десять программ, которые заражали мобильные устройства зловредами Exobot и Anubis. Целью кампании были пользователи из Турции, а количество версий полезной нагрузки, которыми оперировали киберпреступники, исчислялось сотнями.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.095
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.