Symantec: Банковские трояны становятся бесполезными с выходом новых версий Android

image

Теги: троян, Android, вредоносное ПО

С выходом Lollipop интерфейс программирования приложений getRunningTasks устарел.  

ИБ-эксперты Symantec провели исследование влияния новых релизов платформы Android на ключевой функционал отдельных семейств вредоносного ПО. В частности, исследователи определили, как появление версий Lollipop и Marshmallow затронуло банковский троян Bankosy, недавно обнаруженный Компьютерной группой реагирования на чрезвычайные ситуации Польши.

С выходом в 2014 году Android Lollipop интерфейс программирования приложений (API) getRunningTasks устарел. С тех пор API используется для выполнения не всех задач, а только некоторых. Именно выходные файлы getRunningTasks играют важную роль для функционирования Bankosy, поскольку трояну необходимо определить, какое приложение запущено на переднем плане. Таким образом он выясняет, работает ли интересующая его программа (банковский или почтовый клиент). В случае, если нужное приложение запущено на переднем плане, вредонос открывает поверх него окно, требующее от пользователя ввести свои учетные данные, PIN-код и ID.

Поскольку с выходом Lollipop getRunningTasks устарел, часть кода Bankosy, ответственная за открытие этого окна, больше не запускается. Попытки трояна определить работающее на переднем плане приложение заканчиваются ошибкой, поскольку API не раскрывает данные о нем.   
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.