Новый мобильный банкер на Google Play — теперь под видом приложения-фонарика

    Никогда не было и вот опять. На Google Play обнаружили приложение с «незадокументированными возможностями» — фонарик Flashlight LED Widget, скрывающий функции мобильного банкера. Приложение появилось 30 марта и до удаления 10 апреля было загружено до пяти тысяч раз.

    В отличие от других вредоносных программ с постоянным набором целевых приложений, этот троян меняет цели динамически, в зависимости от софта, установленного на зараженном устройстве.

    image

    Как это работает?


    После установки и запуска приложение запрашивает права администратора устройства и разрешение демонстрировать экран поверх других приложений (актуально для Android 6.0 и выше).

    Далее троян обращается к удаленному С&С-серверу и отправляет информацию об устройстве и список установленных приложений, а также фото владельца, сделанное фронтальной камерой.

    Если зараженное устройство находится в России, Украине или Беларуси, управляющий сервер деактивирует троян – похоже, что атакующие таким образом пытаются избежать уголовного преследования в своей стране.

    Получив список установленных приложений, C&C-сервер имитирует соответствующую активность и направляет на устройство вредоносный HTML-код. Этот код исполняется WebView, когда жертва запускает целевое приложение. Поддельный экран скрывает легитимную активность и запрашивает данные банковской карты или логины/пароли. Учетные данные, введенные в поддельную форму, отправляются в незашифрованном виде на C&C-сервер.

    Перечислить целевые приложения затруднительно – HTML-код, полученный с удаленного сервера, зависит от того, какие приложения установлены на устройстве. В ходе исследования мы наблюдали перехват паролей Commbank, NAB и Westpac Mobile Banking, а также Facebook, Instagram и Google Play.

    Функция блокировки устройства, скорее всего, используется на этапе вывода средств со скомпрометированных счетов. Атакующие могут удаленно заблокировать устройство с помощью поддельного экрана обновления – он скроет вредоносную активность и помешает жертве вмешаться в процесс.

    image

    image

    Для связи с управляющим сервером троян использует Firebase Cloud Messages (FCM). Это первая вредоносная программа для Android, исследованная нами, которая использует этот канал коммуникаций.

    Мы выяснили, что данный троян представляет собой модифицированный вариант Android/Charger, впервые обнаруженного Check Point в январе 2017 года. Но в отличие от первой версии, которая использовалась преимущественно в качестве вымогателя (блокировка устройства – требование выкупа), в нашем случае атакующие переключились на кражу банковских данных – сравнительно редкая для платформы Android эволюция.

    Из-за использования фишинговых окон и функции блокировки, Android/Charger.B напоминает мобильный банкер, который мы анализировали в феврале. Однако новая находка более опасна – в этом трояне нет жестко закодированного списка целей, атаковать можно практически любое приложение. Это открывает почти неограниченные возможности для будущего использования малвари.

    Как удалить?


    Поиск вредоносного приложения: Настройки – Менеджер приложений/Приложения – Flashlight Widget.

    image

    Обнаружить приложение легко, удалить – сложнее. Троян не позволяет жертве отключить права администратора, закрывая экран всплывающим окном. В этом случае устройство нужно перезапустить в безопасном режиме, можно действовать в соответствии с нашей видеоинструкцией.

    Антивирусные продукты ESET NOD32 детектируют малварь как Trojan.Android/Charger.B.

    Образец:


    Android/Charger.B
    com.flashscary.widget
    CA04233F2D896A59B718E19B13E3510017420A6D

    За новый отчет спасибо вирусному эксперту Лукашу Стефанко.
    Метки:
    ESET NOD32 143,40
    Компания
    Поделиться публикацией
    Комментарии 16
    • +6
      До чего дошел прогресс
      «Пока я заряжал сигарету от телевизора, фонарик украл у меня деньги.»
      Лет тридцать назад вызвали бы санитаров сразу и в тихий дом.
      • +1
        Какой-то виджет для включения фонарика требует права администратора устройства и показывать окна поверх всех… и куча людей дает же. Правильно говорят: «без лоха...»
        • –2
          Что имеется ввиду под «недокументированными возможностями» в данном случае?

          Пользователь не подтверждает нажатием политику на использование камеры и доступа в интернет? Приложение получает привилегии в обход функций безопасности ОС?
          • 0
            функция фонарика – часть функциональности камеры
            • 0
              Которую, как я понял из статьи, приложение не запрашивает явно, а берёт вместе с админским доступом. Тоже звоночек.
            • 0
              Имеется ввиду то, что приложение занимается тем, чего нет в соглашении и описании.
              • 0
                я могу ошибаться, но т.к. фонарики используют «вспышку», у них должны быть привилегии на камеру. М.б. это сменилось с какой то версии андроида, но на сколько я помню все эти приложения такие привилегии запрашивали.
              • –1
                После установки и запуска приложение запрашивает права администратора устройства и разрешение демонстрировать экран поверх других приложений (актуально для Android 6.0 и выше).

                И пользователь в системном диалоге должен подтвердить эти права? (Android 6.0)
                Какой вежливый троян…
                • +3
                  Да, далее, далее, уверен, готово.
                  Скоростное чтение условий и соглашений-наша сила!
                • 0

                  Там таких "фонариков" в play store вагон и маленькая тележка. С миллионными загрузками. Что может быть особенного в фонарике, чтобы его захотели загрузить миллион человек, когда в Android с четвертой версии можно включить фонарик безо всяких приложений через панель уведомлений? Некоторым, наверное, просто не терпится, чтобы их хакнули.

                  • +1
                    6.5 мб фонарик уже сильное подозрение, даже без учёта требуемых прав приложению.
                    приложение с фонариком у меня 36 кб
                    • 0
                      С виджетом? Просто одна картинка на виджет и иконка приложения по отдельности весят больше. без учёта дисплеев с высокой чёткостью.
                      • +1
                        установленное приложение с небольшим виджетом, выполняющем вкл\выкл фонарика.
                        прога без допнастроек.
                        сама инсталяха 16.7кб весит.
                        • 0
                          Звучит хорошо. Скинете? А то у меня стоит какой-то левый мусор на мегабайт.
                          • +1
                            у меня стоит версия 1.7, но есть и новее.
                            качал и ставил apk отсюда (само собой регистрация на форуме нужна для скачки)
                            https://4pda.ru/forum/index.php?showtopic=496365&st=60

                            но есть и на гуглплей, что они прикрутили в новой версии не вникал.
                            https://play.google.com/store/apps/details?id=com.devuni.flashlight&rdid=com.devuni.flashlight

                            зы. на смарте и планшете у меня работает
                            • 0
                              Вырубается при гашении экрана, там и пишется о проблемах на самсунге, но за помощь спасибо.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое