Мобільні пристрої під прицілом: ТОП-3 небезпечних Android-троянів
Кількість шкідливого програмного забезпечення, що працює на мобільних пристроях давно вже зрівнялася з показниками для стаціонарних ПК. Враховуючи той факт, що світ йде в напрямку персоналізації та клаудификации даних кількість “вірусів” що будуть загрожувати користувачам смартфонів та планшетів може зрости в геометричній прогресії. Отже пропонуємо вашій увазі підбірку з трьох небезпечних троянів, що вражають Android пристрої користувачів в Україні та світі.
TeaBot сучасний Android троян, що перехоплює SMS
Розглядаючи основний функціонал TeaBot, варто зазначити, що його автори намагалися створити універсальний інструмент крадіжки приватних даних. В свою чергу інструментом самого трояна – є функціонал по перехопленню SMS, що приходять та відправляються з інфікованого смартфона. TeaBot маскується під відомі програми використовуючи оригінальні логотипи чи кольорові рішення. Наприклад, відомі випадки коли автори трояна маскували шкідливе ПЗ під оригінальні додатки TeaTV, VLC Media Player, DHL и UPS.
Потрапивши на смартфон, троян запитує у власника доступ до Accessibility Services, що дозволяє робити скріншоти екранів, отримувати доступ до фіксування натискань клавіш на віртуальних клавіатурах тощо.
Основна мета збору такої інформації - отримання пар логінів та паролів від банківських акаунтів користувачів інфікованих смартфонів. Троян активується, коли власник пристрою переходить на сторінку онлайн банкінга, що є в списку, яким користується троян для виявлення та таргетування пріоритетних цілей. Має TeaBot і деякі функції самозахисту. Наприклад, він вміє вимикати Google Play Protect а також завдяки основному функціоналу – перехоплювати сервісні SMS з кодами підтвердження дій чи аутентифікації. Такі «здібності» дають можливість бути непоміченим системами захисту магазинів додатків, у тому числі в Play Market.
Coper – банківський троян, що маскується під офіційні додатки
Спочатку жертва має встановити на свій ПК дропер, а вже потім він дозавантажить троян Coper, що і завершить процес інфікування. Зазвичай, дропер маскується під оригінальний додаток одного із відомих локальних банків. Він має максимально точно відтворювати оригінал і за допомогою методів соціальної інженерії доставлятися потенційним жертвам за допомогою СПАМ розсилок.
Дропер дозавантажує з окремого сервера саме троян Coper, в процесі чого отримує доступ до спеціальних можливостей пристрою (Accessibility Services), що дозволяє взяти систему під повний контроль. Coper отримує доступ на керування та читання повідомлень що надходять на телефон, а також отримує статус Адміністратора, що остаточно закріплює повне підпорядкування пристрою.
Головна мета Coper - отримати дані щодо оригінальних пар логін/пароль банківських акаунтів інтернет-банкінгів користувачів інфікованих пристроїв. Троян має досить широкий функціонал, що дозволяє використовувати вбудовані функції кейлогера, читання та перехоплення сервісних повідомлень від банків, ініціювати введення логінів та паролів на фішингових сторінках, що демонструються користувачу під приводом необхідності пройти терміновий процес автентифікації в системі онлайн-банкінга тощо. Отримавши необхідні дані, Coper відправляє їх операторам даного шкідливого ПЗ, які можуть використати їх у своїх злочинних цілях. Також, автори Coper заклали в його арсенал систему оповіщення та моніторингу дій, що потенційно можуть призвести до його виявлення чи видалення.
Android-троян TangleBot бере смартфони під повний контроль
Випробовуючи Android-троян TangleBot його власники використовують методи соціальної інженерії. Власне, методика розсилки СПАМ повідомлень на номери користувачів смартфонів - досить відомий трюк, про який ми не один раз вже писали в своїх матеріалах.
Як правило, кіберзлочинці створюють такі текстові повідомлення фокусуючись на важливих новинах чи проблемах сучасності, що здатні зацікавити отримувача та спонукати його перейти за посиланням у тілі повідомлення чи переглянути вкладений файл. Якщо власник смартфону виконував дії, що пропонувалися в SMS він фактично власноруч дозволяв заразити свій пристрій та надавав можливість TangleBot взяти смартфон під повний контроль.
Опинившись на смартфоні жертви TangleBot ініціює ряд дій, що здатні надати трояну права на практично повне керування пристроєм. Власне, спершу троян отримує права завантаження додаткових програм та встановлення їх на пристрій.
Все це дозволяє TangleBot виконувати діяльність для якої він був створений - красти дані користувачів. Таким чином оператори шкідливого програмного забезпечення отримують інформацію про перелік інтернет ресурсів, що відвідує власник смартфона, всі пари логінів та паролів, що були введені на пристрої, дані GPS тощо.
Цікаво, що можливості TangleBot не обмежуються тривіальним для сучасних троянів функціоналом. Так, він може без дозволи власника пристрою записувати відео а також аудіо за допомогою камери смартфона та завантажувати їх на сторонні сервери.