Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Зловред использовал датчик движения Android-смартфона, чтобы исключить запуск в песочнице.
После обращения ИБ-специалистов из каталога Google Play были удалены два приложения, загружавшие на Android-устройства банковский троян Anubis. Программы использовали датчики движения мобильного телефона, чтобы не проявлять вредоносную активность при запуске в песочнице, и применяли Telegram и Twitter для связи с командным сервером. Зловред похищал пользовательские данные через перехват работы с виртуальной клавиатурой и скриншоты экранов финансовых приложений.
Вредоносные функции были найдены в программе для экономии заряда батареи и конвертере валют. Как отмечают исследователи, одно из приложений имело более 5 тыс. загрузок и пользовательский рейтинг 4,5 из 5. Попав на устройство, зловред выводил на экран фальшивое уведомление об апдейте системного ПО, а после получения согласия на установку загружал полезную нагрузку.
Злоумышленники использовали необычную тактику для предотвращения запуска своей разработки на виртуальных машинах, которые используют ИБ-специалисты для изучения вредоносных программ. Троян анализировал датчики движения мобильного устройства, чтобы убедиться, что оно находится в руках человека. Если приложение в течение длительного времени не получало сигналов об изменении положения в пространстве, то не выполняло вредоносных действий.
Адрес командного сервера зловред получал через запрос к веб-странице одного из аккаунтов злоумышленников в Telegram или Twitter. Зашифрованный URL центра управления содержался в описании профиля, что позволяло оперативно менять хост без вмешательства в код программы. Кроме того, такой механизм затруднял обнаружение вредоносного приложения антивирусными сканерами.
Специалисты относят банкер, который загружался в ходе кампании, к семейству Anubis. Отличительной чертой зловреда является использование кейлоггера для перехвата финансовых и учетных данных, вводимых жертвой, в то время как большая часть подобных троянов используют для этих целей невидимый фрейм, накладываемый поверх окна финансового приложения. Кроме того, Anubis обладает возможностью отправлять злоумышленникам скриншоты экрана, а некоторые штаммы способны получать доступ к адресной книге и SMS.
Это не первый случай, когда банкер под видом приложения проник в Google Play. В июле прошлого года в репозитории обнаружили сразу десять программ, которые заражали мобильные устройства зловредами Exobot и Anubis. Целью кампании были пользователи из Турции, а количество версий полезной нагрузки, которыми оперировали киберпреступники, исчислялось сотнями.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |