Опасное вредоносное ПО для Android- банковский троян, кейлоггер и шифровальщик

Опасное вредоносное ПО для Android- банковский троян, кейлоггер и шифровальщик

Новое вредоносное ПО для Android, содержащее функциональные возможности банковского трояна, переадресацию вызовов, запись звука, кейлоггеров и деятельность Ransomware. Это вредоносное ПО предназначено для популярных банковских приложений, таких как HFC, ICICI, SBI, Axis Bank и другие электронные кошельки.

Оператору вредоносного ПО требуется больше взаимодействия с пользователем, чтобы атака прошла успешно. Вредонос продолжает заставлять пользователей в непрерывном цикле до тех пор, пока не будет предоставлено разрешение для AccessibilityService. Имея доступность AccessibilityService, он позволяет злоумышленнику злоупотреблять любыми разрешениями без каких-либо проблем.

Исследователи Quick Heal обнаружили вредоносное ПО, которое выполняет ряд действий на основе команд, полученных от сервера C & C.

Tab

Возможности Android Malware

Как только целевое приложение запущено, оно отображает на своем листе фишинговую регистрационную форму с надписью и запрашивает конфиденциальную информацию, такую как имя пользователя и пароль. Атаки Overlay позволяют злоумышленнику рисовать поверх других окон и приложений, запущенных на поврежденном устройстве.

Tab2

Основной файл APK сильно запутан, а строки зашифрованы, кроме того добавлены ненужные данные, чтобы затруднить обратное проектирование.

Кроме того, используется проверка включен ли режим защиты воспроизведения, или нет, если он не позволяет отображать поддельные предупреждения «Система работает неправильно, отключает защиту Google Play» и то вредонос просит пользователей отключить ее.

Tab3

Также исследователи заметили, что, если пользователь пытается удалить приложение, вредоносное ПО показывает предупреждение с сообщением «System Error 495».

Если вредоносная программа получает команду « cryptokey », она шифрует все файлы в устройстве жертвы и переименовывает с расширением « .AnubisCrypt». Как только шифрование будет завершено, отобразится сообщение о выкупе и закроется экран окна, показывая Window WebView.

Quick Heal Security Labs опубликовала сообщение в блоге с полным списком целевых приложений и индикаторами компромисса.

 

 

Alt text

Владимир Безмалый

О безопасности и не только