Приведи друга и получи до месяца обслуживания бесплатно!
При покупке компьютера, планшета, ноутбука - Office 365 на 3 месяца бесплатно.
При одновременном заключении договора на проект ЗПДн и абонементное обслуживание, скидка на проект 15%
Антивирус с помесячной оплатой. Возможность добавлять или удалять лицензии. Касперский или Есет Нод32 - выбираете Вы!
 
 
  •  
  •  
  •  
  •  
  •  

 

ООО "Линия Безопасности"

 

Республика Коми, г.Сыктывкар
ул. Первомайская, 70, оф. 448

 

 

Телефоны: (8212) 24 - 50 - 00

 

24 - 50 - 0024 - 50 - 00                                 25 - 09 - 82

 

                                 25 - 09 - 83

НовостиБольше
06.12.18
Представлено обновленное приложение Outlook для iOS
04.12.18
Операционная система получила прописку в российском ПО
03.12.18
Сервисная стратегия. Бизнес-конференция «С как сервис»
30.11.18
Монитор бизнес-класса имеет безрамочный дизайн
29.11.18
Как сделать вашу презентацию в PowerPoint удобнее
28.11.18
Сервисная стратегия. Бизнес-конференция «С как сервис»
27.11.18

PlayStation Classic: игры, меню, функции, вывод и питание

26.11.18
FSLogix, для улучшения виртуализации в Office 365
23.11.18
Новая версия решения «Офисный контроль и DLP Safetica»
22.11.18
Производителей плат и видеокарт ожидают тяжёлые времена

Новости

Главная Новости
« Назад

Доктор Веб 11.04.2018 10:19

Вирусные аналитики компании «Доктор Веб» зафиксировали распространение троянца Android.BankBot.358.origin, который нацелен на клиентов Сбербанка. Эта вредоносная программа крадет информацию о банковских картах, выводит деньги со счетов, а также блокирует зараженные устройства и требует выкуп. Ущерб, который может нанести Android.BankBot.358.origin, превышает 78 000 000 рублей.

 

Android.BankBot.358.origin известен компании «Доктор Веб» с конца 2015 года. Вирусные аналитики установили, что новые модификации троянца Android.BankBot.358.origin предназначены для атаки на российских клиентов Сбербанка и заразили уже более 60 000 мобильных устройств. Однако, поскольку вирусописатели распространяют множество различных версий этого вредоносного приложения, число пострадавших может значительно увеличиться. Суммарный объем средств, которые злоумышленники способны украсть с банковских счетов владельцев зараженных устройств, превышает 78 000 000 рублей. Кроме того, киберпреступники могут похитить более 2 700 000 рублей со счетов мобильных телефонов.

 

На следующих изображениях показаны разделы панели администрирования Android.BankBot.358.origin с информацией о зараженных устройствах и статистикой по одной из обнаруженных бот-сетей:

 

1

2

 

Этот банковский троянец распространяется при помощи мошеннических СМС, которые могут рассылать как киберпреступники, так и сама вредоносная программа. Чаще всего сообщения отправляются от имени пользователей сервиса Avito.ru. В таких СМС потенциальной жертве предлагается перейти по ссылке – якобы чтобы ознакомиться с ответом на объявление. Например, популярен текст: «Добрый день, обмен интересен?». Кроме того, иногда владельцы мобильных устройств получают поддельные уведомления о кредитах, мобильных переводах и зачислениях денег на счет в банке. Ниже показаны примеры фишинговых сообщений, которые задаются в панели администрирования управляющего сервера троянца и рассылаются по команде вирусописателей:

 

3

4

 

При переходе по ссылке из такого сообщения жертва попадает на принадлежащий злоумышленникам сайт, откуда на мобильное устройство скачивается apk-файл вредоносного приложения. Для большей убедительности вирусописатели используют в Android.BankBot.358.origin значок настоящей программы Avito, поэтому вероятность успешной установки троянца после его загрузки увеличивается. Некоторые модификации банкера могут распространяться под видом других программ – например, ПО для работы с платежными системами Visa и Western Union.

 

56

 

При первом запуске Android.BankBot.358.origin запрашивает доступ к правам администратора устройства и делает это до тех пор, пока пользователь не согласится предоставить ему необходимые полномочия. После получения нужных привилегий троянец показывает ложное сообщение об ошибке установки и удаляет свой значок из списка программ на главном экране. Так Android.BankBot.358.origin пытается скрыть свое присутствие на смартфоне или планшете. Если же в дальнейшем пользователь пытается удалить банкера из списка администраторов, Android.BankBot.358.origin активирует функцию самозащиты и закрывает соответствующее окно системных настроек. При этом некоторые версии троянца дополнительно устанавливают собственный PIN-код разблокировки экрана.

 

7

 

После инфицирования устройства Android.BankBot.358.origin соединяется с управляющим сервером, сообщает ему об успешном заражении и ожидает дальнейших указаний. Главная цель троянца – похищение денег у русскоязычных клиентов Сбербанка, при этом основным вектором атаки является фишинг. Злоумышленники отправляют троянцу команду на блокирование зараженного устройства окном с мошенническим сообщением. Оно имитирует внешний вид системы дистанционного банковского обслуживания Сбербанк Онлайн и отображается для всех пользователей независимо от того, являются ли они клиентами Сбербанка или другой кредитной организации. В этом сообщении говорится о якобы поступившем денежном переводе в размере 10 000 рублей. Для получения средств владельцу смартфона или планшета предлагается указать полную информацию о банковской карте: ее номер, имя держателя, дату окончания действия, а также секретный код CVV. При этом без ввода требуемых данных мошенническое окно невозможно закрыть, и устройство остается заблокированным. В результате пользователь вынужден подтвердить «зачисление средств», после чего информация о карте передается злоумышленникам, и они могут беспрепятственно украсть все деньги с банковского счета жертвы.

 

Однако на момент публикации этого материала существующие модификации троянца не выполняют полную проверку сведений о банковских картах, и после ввода любых данных снимают блокировку. В результате пострадавшие от Android.BankBot.358.origin владельцы мобильных устройств могут избавиться от фишингового окна и воспользоваться антивирусом, чтобы удалить вредоносную программу. Для этого в мошенническую форму необходимо ввести произвольный номер карты, который состоит из 16 или 18 цифр, а также указать любой срок ее действия в диапазоне от 2017 до 2030 года включительно. При этом ни в коем случае нельзя вводить информацию о настоящей карте Сбербанка или другой кредитной организации, т. к. злоумышленники получат к ней полный доступ.

 

Тем не менее, ничто не мешает вирусописателям отдать команду на повторную блокировку смартфона или планшета после обнаружения обмана. Поэтому после того как фишинговое окно будет закрыто, необходимо как можно скорее проверить устройство антивирусом и удалить троянца с мобильного устройства: https://download.drweb.ru/android/

 

8

 

Если у пользователя подключена услуга Мобильный банк, Android.BankBot.358.origin с ее помощью пытается украсть деньги со счета жертвы. Вредоносная программа незаметно отправляет СМС с командами для выполнения операций в системе онлайн-банкинга. Троянец проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона. Пример того, как Android.BankBot.358.origin похищает деньги через сервис дистанционного банковского обслуживания, показан на следующей иллюстрации:

 

9

 

Для получения дополнительного дохода некоторые версии Android.BankBot.358.origin могут заблокировать зараженное устройство сообщением с требованием оплаты штрафа за просмотр запрещенных видео. Кроме того, чтобы скрыть вредоносную активность (например, поступление подозрительных СМС), различные модификации троянца способны также блокировать экран зараженного смартфона или планшета уведомлением об установке некоего системного обновления.

 

1011

 

Вирусописатели могут настраивать параметры окон блокировки в панели администрирования управляющего сервера. Например, задавать текст выводимых сообщений, продолжительность их отображения, а также требуемую сумму выкупа. Ниже представлены примеры соответствующих разделов панели управления:

 

12

13

 

Наряду с кражей денег и блокировкой зараженных устройств Android.BankBot.358.origin способен выполнять и другие вредоносные действия. Получая команды от злоумышленников, троянец может:

  • загружать собственные обновления;
  • рассылать СМС-сообщения по всем номерам из телефонной книги;
  • рассылать СМС-сообщения по указанным в командах номерам;
  • загружать заданные киберпреступниками веб-сайты;
  • отправлять на сервер хранящиеся на устройстве СМС-сообщения;
  • получать информацию о контактах из телефонной книги;
  • создавать поддельные входящие СМС-сообщения.

 

Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют все известные модификации Android.BankBot.358.origin, поэтому для наших пользователей троянец опасности не представляет. Специалисты «Доктор Веб» передали информацию о троянце в Сбербанк и продолжают наблюдать за развитием ситуации.


 
 
Rambler's Top100

partner.gif

logo_w

Аутсорсинг IT в г. Сыктывкаре. Поставка лицензионного программного обеспечения (ПО). Поставка и обслуживание компьютеров в г. Сыктывкаре. Администрирование серверов Microsoft.  Антивирусная защита. Сервис. Резервное копирование ценных данных. Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации 2888 от 17 мая 2016 года. Приведение систем защиты персональных данных (ПДн) в соответствие с законом 152-ФЗ. Защита информации. Консультирование. Создание сайтов.

ООО "Линия Безопасности"
Адрес: Республика Коми, г. Сыктывкар
ул. Первомайская, 70, офис 448

Моб.: +79634880982
Раб.: +7 (8212) 245-000
 

e-mail: info@seculine.ru
http://www.seculine.ru
Мы в Vkontakte