Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Деньги
Крипто
Маркетинг
Сервисы
Маркетплейсы
Личный опыт
Путешествия
Мнения
Техника
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Дмитрий Бобров
Техника

Вредоносное ПО для Android может делать "сброс до заводских настроек" телефонов после опустошения банковских счетов

Троян, созданный для банковского мошенничества, который в течение трёх лет был ориентирован на пользователей Android, был обновлен, чтобы создать ещё больше проблем. Помимо опустошения банковских счетов, троян теперь может активировать функцию Kill Switch, выполняя сброс настроек до заводских и затирая данные на заражённых устройствах.

Вредоносное ПО для Android может делать "сброс до заводских настроек" телефонов после опустошения банковских счетов

Впервые о Brata стало известно из сообщения компании Лаборатория Касперского, в котором сообщалось, что вредоносное программное обеспечение [ПО] для Android циркулирует как минимум с января 2019 года. Вредоносное ПО распространяется в основном через Google Play, но также и через электронные торговые площадки, push-уведомления на взломанных веб-сайтах, рекламные ссылки в Google и сообщения, передаваемые через WhatsApp или SMS. В то время, целью трояна Brata были люди со счетами в бразильских банках.

Сокрытие своих вредоносных следов

Теперь Brata вернулась с множеством новых способностей, наиболее важной из которых является возможность выполнить сброс настроек на зараженных устройствах, чтобы стереть любые следы вредоносного ПО после попытки несанкционированного банковского перевода. Аналитики Cleafy Labs, которая первой сообщила об появившемся Kill Switch-функционале, заявили, что другие функции, недавно добавленные в Brata, включают GPS-отслеживание, улучшенную связь с управляющими серверами, возможностями постоянного мониторинга банковских приложений жертв и выявления счётов банков, расположенных в других странах. Теперь троян работает с банками, расположенными в Европе, США и Латинской Америке.

"Впервые обнаруженный Лабораторией Касперского в 2019 году ориентированный на бразильских пользователей Android, троян удалённого доступа (RAT) был обновлён и ориентирован на большее количество потенциальных жертв, получив Kill Switch-функционал, чтобы скрыть свои следы," – заявили исследователи из компании Zimperium, занимающейся кибербезопасностью, в публикации, подтверждающий выводы Cleafy Labs.

На этот раз нет никаких доказательств того, что вредоносное ПО распространяется через Google Play или другие официальные сторонние торговые площадки Android. Вместо этого Brata распространяется через фишинговые текстовые сообщения, замаскированные под банковские предупреждения.

Вредоносное ПО с новым функционалом циркулирует как минимум в трёх вариантах, и все они оставались почти незамеченными, пока аналитики Cleafy Labs впервые не обнаружили их. Скрытность, по крайней мере, частично является результатом нового загрузчика, используемого для распространения приложений.

Помимо Kill Switch, Brata теперь запрашивает разрешение на доступ к местонахождению заражённых устройств. Хотя исследователи Cleafy Labs заявили, что не нашли в коде никаких доказательств того, что Brata использует отслеживание местоположения, они предположили, что будущие версии вредоносного ПО могут начать использовать эту функцию.

Вредоносное ПО также было обновлено, чтобы поддерживать постоянное соединение с командно-контрольным сервером злоумышленника (или C2) в режиме реального времени с использованием WebSocket.

"Как показано на рисунке 17 [ниже], протокол webSocket используется C2, который отправляет определённые команды, которые необходимо выполнить на телефоне (например, whoami, byebye_format, screen_capture и т. д.)," – пишут исследователи Cleafy Labs. "Насколько нам известно, вредоносное ПО (с точки зрения подключения) большую часть времени находится в состоянии ожидания, пока C2 не подаст команды, инструктирующие приложение для следующего шага."

Вредоносное ПО для Android может делать "сброс до заводских настроек" телефонов после опустошения банковских счетов

Новые характеристики подчеркивают постоянно меняющееся поведение преступного ПО и других видов вредоносных программ, поскольку их авторы стремятся увеличить охват приложений и доходы, которые они приносят. Пользователям телефонов Android следует опасаться вредоносных программ, ограничивая количество устанавливаемых ими приложений, гарантируя, что приложения поступают только из надежных источников, быстро устанавливая обновления безопасности [и регулярно обновляя установленные на телефоне приложения – прим. ред.].

источник https://arstechnica.com/?p=1828686

редактура и адаптация Дмитрий Бобров

Начать дискуссию