Банковский троян Android маскируется под Flash Player и обходит 2FA

  1. Анализ
  2. Как удалить вредоносное ПО
  3. Поддельные экраны входа в систему для различных банковских приложений
  4. Дополнительная информация

Эта вредоносная программа маскируется под Flash Player, ведет себя как блокировка экрана и может обходить двухфакторную аутентификацию. Эта комбинация функций превращает его в мощный инструмент для кражи денег с банковских счетов жертв.

Активные пользователи приложений для мобильного банкинга должны знать о новой троянской кампании для Android-банков, ориентированной на клиентов крупных банков в Австралии, Новой Зеландии и Турции. Банковское вредоносное ПО, обнаруженное продуктами безопасности ESET как Android / Spy.Agent.SI , может украсть учетные данные для входа в систему из 20 мобильных банковских приложений. Список целевых банков включает крупнейшие банки в каждой из трех целевых стран (полный список можно найти в последнем разделе этой статьи). Благодаря своей способности перехватывать SMS-сообщения вредоносные программы также могут обходить двухфакторную аутентификацию на основе SMS.

Анализ

Вредонос маскируется под Flash Player с иконкой, выглядящей как законный.

Он был доступен на нескольких серверах. Эти серверы были зарегистрированы в конце января и феврале 2016 года. Интересно, что URL-пути к вредоносным APK-файлам обновляются каждый час - возможно, во избежание обнаружения URL-адреса антивирусным программным обеспечением.

Эта вредоносная программа маскируется под Flash Player, ведет себя как блокировка экрана и может обходить двухфакторную аутентификацию

Рисунок 1

Рисунок 1

Вредоносные сайты, размещающие Android / Spy.Agent.SI

После загрузки и установки приложения пользователю предлагается предоставить права администратора устройства приложения. Этот механизм самозащиты предотвращает удаление вредоносных программ с устройства. Затем значок Flash Player скрывается от пользователя, но вредоносное ПО остается активным в фоновом режиме.

После этого вредоносная программа связывается с удаленным сервером. Связь между клиентом и сервером кодируется base64. Сначала вредоносная программа отправляет информацию об устройстве, такую ​​как тип модели, номер IMEI, язык, версия SDK и информацию о том, активирован ли администратор устройства. Эта информация отправляется на сервер каждые 25 секунд. Затем вредоносная программа собирает имена пакетов установленных приложений (включая приложения мобильного банкинга) и отправляет их на удаленный сервер. Если какое-либо из установленных приложений является целью вредоносного ПО, сервер отправляет полный список из 49 целевых приложений, хотя не все из них подвергаются прямой атаке.

Вредоносное ПО проявляется как наложение, появляющееся над запущенным банковским приложением: эта фишинговая операция ведет себя как экран блокировки, который не может быть завершен без ввода пользователем своих учетных данных для входа. Вредоносная программа не проверяет достоверность введенных данных, а отправляет их на удаленный сервер, после чего вредоносный оверлей закрывается. Вредоносная программа не только предназначена для мобильных банковских приложений, но также пытается получить учетные данные Google.

Первые версии были простыми, с легко распознаваемой злонамеренной целью. Более поздние версии показали лучшее запутывание и шифрование.

Краткое описание процесса

Если целевое приложение запускается, вредоносная программа запускается, и экран поддельного входа в систему накладывается на исходный экран мобильного банкинга без возможности его закрытия.

Если целевое приложение запускается, вредоносная программа запускается, и экран поддельного входа в систему накладывается на исходный экран мобильного банкинга без возможности его закрытия

Рисунок 2 - Связь с сервером

После того, как пользователь вводит свои личные данные, фальшивый экран закрывается и отображается законный мобильный банкинг.

Как упоминалось ранее, вся информация, передаваемая между устройством и сервером, кодируется, за исключением украденных учетных данных, которые отправляются в виде простого текста.

Как упоминалось ранее, вся информация, передаваемая между устройством и сервером, кодируется, за исключением украденных учетных данных, которые отправляются в виде простого текста

Рисунок 3 - Учетные данные, отправленные в виде простого текста

Вредонос может даже обойти 2FA (двухфакторную аутентификацию), отправляя все полученные текстовые сообщения на сервер, если требуется. Это позволяет злоумышленнику перехватить все текстовые сообщения SMS из банка и немедленно удалить их с клиентского устройства, чтобы не вызывать никаких подозрений.

Как удалить вредоносное ПО

Когда пользователь пытается удалить вредоносную программу, могут возникнуть два разных сценария. Сначала пользователь должен отключить права администратора, а затем удалить поддельный «Flash Player» с устройства. Деактивация прав администратора может иметь два возможных результата. В более простом случае пользователь сначала деактивирует права администратора в меню «Настройки» -> «Безопасность» -> «Администраторы устройства» -> «Flash Player» -> «Деактивировать», а затем игнорирует фиктивное предупреждение и выбирает «ОК».

В более простом случае пользователь сначала деактивирует права администратора в меню «Настройки» -> «Безопасность» -> «Администраторы устройства» -> «Flash Player» -> «Деактивировать», а затем игнорирует фиктивное предупреждение и выбирает «ОК»

Рисунок 4 - Деактивация прав администратора

Затем пользователь может удалить вредоносную программу через Настройки -> Приложения / Диспетчер приложений -> Flash Player -> Удалить.

Удаление может стать более сложным, если устройство получает от сервера команду на отключение деактивации прав администратора устройства. Если это происходит, когда пользователь пытается деактивировать его, вредоносная программа создает наложение на переднем плане, которое не позволяет пользователю нажать кнопку подтверждения. Поэтому деактивация прав администратора завершится неудачей.

Поэтому деактивация прав администратора завершится неудачей

Рисунок 5 - Экран оверлея, отображаемый вредоносной программой

Другой способ безопасной деактивации прав администратора - войти в безопасный режим. При загрузке в безопасном режиме сторонние приложения не загружаются или не выполняются, и пользователь может безопасно деактивировать права администратора, как в первом сценарии, и тем самым удалить приложение. Решения ESET обнаруживают эту вредоносную программу как Android / Spy.Agent.SI .

Поддельные экраны входа в систему для различных банковских приложений

Поддельные экраны входа в систему для различных банковских приложений

Дополнительная информация

Имя обнаружения ESET:

Android / Spy.Agent.SI

Серверы C & C: http://94.198.97.202 http://46.105.95.130 http://181.174.164.138 Скачать серверы: http://flashplayeerupdate.com/download/ http://adobeflashplaayer.com/download/ http: / /adobeuploadplayer.com/download/ http://adobeplayerdownload.com/download/ http://adobeupdateplayer.com/download/ http://adobeupdateplayeer.com/download/ http://adobeupdateflash11.com/download/

Целевые банки:

Westpac, Банк Бендиго, Банк Содружества, Банк Св. Георгия, Национальный австралийский банк, Банквест, Ме Банк, Банк АНЗ, Банк АСБ, Банк Новой Зеландии, Кивибанк, Уэллс Фарго, Халкбанк, Банк Япы Креди, ВакифБанк, Банк Гаранти, Акбанк , Finansbank, Türkiye İş Bankası и Ziraat Bankası.

Имена целевых пакетов: org.westpac.bank com.westpac.cashtank au.com.westpac.onlineinvesting org.banking.westpac.payway com.rev.mobilebanking.westpac com.westpac.illuminate com.bendigobank.mobile com.commbank.netbank org.stgeorge.bank au.com.nab.mobile au.com.bankwest.mobile com.akbank.android.apps.akbank_direkt com.finansbank.mobile.cepsube finansbank.enpara com.pozitron.iscep com.wf.wellsfargomobile com. wf.wellsfargomobile.tablet com.wellsFargo.ceomobile com.wellsfargo.mobile.merchant com.tmobtech.halkbank com.ziraat.ziraatmobil au.com.mebank.banking com.anz.android.gomoney nz.co.anz.android.mobilebanking nz.co.westpac nz.co.asb.asbmobile nz.co.bnz.droidbanking nz.co.kiwibank.mobile com.ykb.android com.vakifbank.mobile com.garanti.cepsubesi biz.mobinex.android.apps.cep_sifrematik com.paypal.android.p2pmobile com.ebay.mobile com.skype.raider com.whatsapp com.google.android.googlequicksearchbox com.android.vending com.google.android.music com.google.android.apps.plus com. android.chrome com.google.android.apps.maps com.google.android.youtube com.google.android.apps.photos com.google.android.apps.books com.google.android.apps.docs com.google.android.apps .docs.editors.docs com.google.android.videos com.google.android.gm Хэши: C31E5E31210B08BA07AC6570814473C963A2EF81 6CAD2250EDDF7EDDF0B4D4E7F0B5D24B647CB728 4A788D05DD8849CD60073F15255C166F06611475 EE88D05CF99D8C534FBA60D1DA9045FB7526343A 26A2B328F194B6B75B2CC72705DC928A4260B7E7 4AD1DBB43175A3294A85957E368C89A5E34F7B8C DB228BB5760BD7054E5E0A408E0C957AAC72A89F 266B572B093DB550778BA7824E32D88639B78AFC E4FA83A479642792BC89CA3C1553883066A19B6C 644644A30DE78DDCD50238B20BF8A70548FF574C F1AAAE29071CBC23C33B4282F1C425124234481C CAC078C80AD1FF909CC9970E3CA552A5865C7963 1C8D0E7BB733FBCEB05C40E0CE26288487655738 FE6AC1915F8C215ECEC227DA6FB341520D68A9C7 BD394E0E626CE74C938DDDF0005C074BC8C5249D D7E0AFCE7D2C4DE8182C353C7CBA3FAC607EAFC9 A804E43C3AFF3BDAEE24F8ABF460BAA8442F5372 0EF56105CF4DBF1DAE1D91ECE62FC6C4FF8AD05F 9FD295721C1FF87BC 862D19F6195FDDE090524D9 57D0870E68AC1B508BC83F24E8A0EBC624E9B104 521F9767104C6CBB5489544063FCE555B94025A6 E5F536408DBB66842D7BB6D049B8508018808015305015015015015015258708017

Похожие

Как удалить свой аккаунт Google
... входа в Google. 2. Введите соответствующий адрес электронной почты и пароль для учетной записи с продуктом или услугой Google, которые вы хотите удалить, и нажмите « Войти» . 3.
Ищете альтернативу JW Player? Начните с Brid.tv ™
... последние несколько лет мы наблюдали массовый рост онлайн-видео, и благодаря множеству подключенных мобильных устройств доступ к информации стал проще, чем когда-либо. Видео также является основной движущей силой на текущей сцене B2B. YouTube остается самой влиятельной общественной видео-платформой, практически диктующей сцену маркетинга видеоконтента. Однако в последнее время создатели видео и компании, занимающиеся рекламой видео, начинают искать бизнес в других местах. Крупные рекламодатели,
Как заработать деньги в Интернете. написание статей
Если вы любите общаться на форумах, оставлять комментарии в блогах или умеете писать интересные статьи, вы можете зарабатывать в Интернете неплохие деньги. На сегодняшний день это самый надежный способ заработка на дому. В Интернете существует несколько систем, которые оплачивают за общение на форумах (примерно по 1 центу за сообщение), но достаточно серьезные деньги можно заработать в системе Адвего (Несколько долларов в час). Это наиболее
Зачем вам нужно тестирование приложений в облаке
Поделиться этой записью: Двадцать лет назад, когда я был программистом, большинство приложений работали на архитектуре клиент-сервер. Данные были тесно связаны с приложениями в модели клиент
Как записывать только ваши важные телефонные звонки на Android
... вем во время, когда АНБ проводит полевой день со слежкой за данными и такие проекты, как PRISM Как зашифровать данные на вашем смартфоне Как зашифровать данные на вашем смартфоне Со скандалом Prism-Verizon якобы происходило то, что Агентство
Как перенести контакты с iPhone на Android
... входа. Затем ваш iPhone спросит, какие части вашей учетной записи Google вы хотите синхронизировать. Убедитесь, что выбрана опция Контакты; тогда ваши устройства iPhone и Android начнут синхронизировать контакты друг с другом. Это та часть, где вам нужно быть терпеливым. Если у вас много контактов, это может занять некоторое время. Просто убедитесь, что интернет-соединение активно во время синхронизации ваших контактов. Следует отметить, что ваш iPhone не будет сообщать
Почему большинство программ по-прежнему 32-разрядные в 64-разрядной версии Windows?
... под управлением 64-разрядной версии Windows"> Ваш компьютер, вероятно, работает под управлением 64-разрядной версии Windows. Но взгляните на диспетчер задач, и вы увидите, что многие приложения в вашей системе все еще 32-разрядные. Это проблема? Большинство современных компьютеров - безусловно, те, которые продаются примерно за 7 дней до Windows - способны работать на 64-битной основе и поставляются с 64-битной версией Windows. Если вы не уверены в своем собственном ПК,
Kaspersky AdCleaner: Анти-Баннер для iOS
Обновление: приложение, описанное в этом посте, больше не поддерживается. Пользователи Kaspersky Internet Security и Kaspersky Total Security знакомы с Анти-Баннером, удобным компонентом, который блокирует надоедливую рекламу на веб-сайтах и ​​в программных интерфейсах. Рекламные блоки действительно полезны в наши дни. Их использование позволяет быстрее открывать веб-сайты, делает веб-страницы
Как увеличить это расстояние в Google Maps
Почти невозможно представить себе однодневные поездки или путешествие в новое место без проверки на Карты Гугл , К сожалению, это ограничивает масштабирование после определенного уровня. Однако существует способ обойти это ограничение , т. Е. Почти бесконечно увеличивать масштаб в Google Maps. И это то, чем я собираюсь поделиться в этом посте.
MRAID: что и как работает для мобильной рекламы в приложении Rich Media
... в блоге обновлено 27 января 2016 г. На протяжении многих лет использование мобильных нативных приложений увеличивалось, а мобильный веб-серфинг снижался. На мобильные приложения теперь приходится 86% времени мультимедиа на мобильных устройствах. * Но для показа мультимедийных баннерных объявлений во множестве приложений от разных издателей рекламы вам необходимо создать множество мультимедийных баннеров (одной и той же кампании), чтобы соответствовать различным
Blackberry Bold 9900: флагман RIM в тесте
В целом, текущий Blackberry Bold немного больше, чем его последние предшественники 9700 и 9780. Устройство имеет размеры 115 на 66 на 10,5 миллиметров. В результате в руке все не так хорошо. Это цена действительно хорошей клавиатуры. Телефон весит 130 грамм, но на 10 грамм легче iPhone 4S. Клиент подкаста

Комментарии

Как бы вы эффективно проводили мобильные мультимедийные кампании без головной боли при показе рекламы в разных приложениях от разных издателей?
Как бы вы эффективно проводили мобильные мультимедийные кампании без головной боли при показе рекламы в разных приложениях от разных издателей? Как насчет затрат на разработку рекламы для разных приложений и платформ устройств? Теперь давайте посмотрим, как MRAID может решить эти проблемы. Дополнительные ресурсы: - Создайте последние объявления MRAID с помощью этого бесплатного создателя
Является ли запуск 32-битных приложений на 64-битной Windows плохой идеей?
Является ли запуск 32-битных приложений на 64-битной Windows плохой идеей? СВЯЗАННЫЕ С: Почему 64-разрядная версия Windows более безопасна На первый взгляд может показаться, что запуск 32-разрядных приложений в 64-разрядной среде - это плохо или, во всяком случае, не идеально. В конце концов, 32-битные приложения не в полной мере
Как это возможно?
Как это возможно? Автор нашел IP-адреса для этих камер, а затем проверил, были ли изменены данные доступа к ним. Если устройство использует пароль производителя по умолчанию, он включается в список, который был дополнительно разделен на страны. Из Польши на момент написания этой новости насчитывалось около 700 необеспеченных мобильных домов.
Как это было с областью повреждения горы?
Как это возможно? Автор нашел IP-адреса для этих камер, а затем проверил, были ли изменены данные доступа к ним. Если устройство использует пароль производителя по умолчанию, он включается в список, который был дополнительно разделен на страны. Из Польши на момент написания этой новости насчитывалось около 700 необеспеченных мобильных домов.
Как увеличить масштаб в Google Maps?
Как увеличить масштаб в Google Maps? Теперь, когда вы знаете приемы, позволяющие почти бесконечно увеличивать масштаб в Картах Google, давайте посмотрим, как можно применять эти приемы для увеличения результатов. Следуйте инструкциям ниже, чтобы использовать вышеупомянутые уловки: Прежде всего, найдите место на Google Maps. После того, как вы получите результат, переключитесь на вид Спутник , щелкнув квадратный значок (с надписью «Спутник»)
Как быстро это?
Как быстро это? И почему это иногда кажется таким медленным? Прочитайте больше , Проверь свою скорость интернета Для получения точных результатов вы должны использовать инструмент тестирования скорости интернета, который предоставляет локальный сервер. В противном случае ваш результат может быть ошибочным, просто потому что тест должен пройти большие расстояния.
Как на практике используются ставки на спред и на что стоит обратить внимание?
Как на практике используются ставки на спред и на что стоит обратить внимание? Мы предоставляем вам много интересных фактов о торговле ставками на спред. содержание Краткая информация о ставках на спред: 1.) Что такое торговля спредом? 2.) Практический пример из мира спред-трейдинга 3.) Также в торговле на рынке Форекс, спред ставки могут быть полезны 4.) Заключение: Спред-беттинг заключается в сделках с разницей
Как же еще узнать, что рабочий день закончился и пора домой?
Как же еще узнать, что рабочий день закончился и пора домой? Советую Вам установить замечательные, анимированные часы на рабочий стол. Облака проплывают, капельки дождя стекают по экрану, цифры заносит снегом ... ну не прекрасно ли? А в комплекте с часами идут - погодный информер, виджет фото галереи и новостей. Убедил? Производители этих
Как она узнает конкретного человека среди миллиарда других людей?
Как она узнает конкретного человека среди миллиарда других людей? Она анализирует мимику нашего лица и переводит ее в цифровые данные. Под контролем такой камеры мы перестаем быть собой, где-то среди потока бесчисленных данных, существует наша цифровая копия. Мы - только виртуальный образ Директор Института надзора в Университете Куинс, Дэвид Лион (David Lyon) в 2012 году выразил мнение о том, что «в контексте надзора за лицами, вся информация человека состоит из личных данных,
Это хороший кусок задержка , Но задержка не единственное соображение - как насчет пропускная способность (т. е. количество информации, которую можно отправить в каждой поездке)?
Как же еще узнать, что рабочий день закончился и пора домой? Советую Вам установить замечательные, анимированные часы на рабочий стол. Облака проплывают, капельки дождя стекают по экрану, цифры заносит снегом ... ну не прекрасно ли? А в комплекте с часами идут - погодный информер, виджет фото галереи и новостей. Убедил? Производители этих

Это проблема?
Как бы вы эффективно проводили мобильные мультимедийные кампании без головной боли при показе рекламы в разных приложениях от разных издателей?
Как насчет затрат на разработку рекламы для разных приложений и платформ устройств?
Является ли запуск 32-битных приложений на 64-битной Windows плохой идеей?
Как это возможно?
Как это было с областью повреждения горы?
Как это возможно?
Как увеличить масштаб в Google Maps?
Как увеличить масштаб в Google Maps?
Как быстро это?