PRO вирусы. Версия 4.0 (Холмогоров) - страница 55

На первую страницу



Рис. 11. Мобильные банкеры могут рисовать поддельные окна авторизации популярных банков


Еще один банкер доставал пользователей запросом на включение режима Accessibility Service — специальных возможностей для людей с ограничениями по здоровью. А получив такое разрешение, сам включал для себя администраторские привилегии. После этого троян просто сидит в памяти мобильного телефона, ожидая запуска мобильного банковского приложения. При наступлении этого события он определяет, какое именно приложение запущено, и рисует поверх него соответствующую поддельную форму ввода логина и пароля, а введенные данные тут же пересылаются на управляющий сервер по HTP в виде JSON или на заданный телефонный номер SMS-сообщением. Конфигурация мобильного банкера может содержать HTML-код нескольких десятков форм с различным оформлением, копирующим интерфейс приложений наиболее популярных банков. После этого остается только перехватить и отправить в том же направлении SMS с одноразовыми паролями, чтобы предоставить киберпреступникам полный доступ к банковскому счету. Входящие сообщения от банков при этом обычно скрываются, чтобы не вызывать у жертвы подозрений.



Рис. 12. Для хищения реквизитов банковских карт многие мобильные трои используют поддельные окна Google Play


Сколько денег подобным образом было похищено со счетов пользователей Android, сказать трудно, но суммы здесь наверняка фигурируют шестизначные. Даже если троянам по какой-то причине не удавалось получить доступ к банковскому счету, они благополучно похищали реквизиты банковских карт. Для этого, например, широко использовались поддельные окна привязки карты к приложению Google Play.

Приобрести что-либо ценное в приличных интернет-магазинах с использованием ворованных реквизитов непросто, а вот оплатить онлайн-игры или покупку музыки в каком-нибудь сервисе вполне возможно. Подобные сайты редко выполняют серьезную проверку платежных реквизитов, поскольку транзакции там обычно копеечные. Чем и пользуются злоумышленники.


Банкботы

Банкботы — это побочная ветвь эволюции мобильных банкеров. Если обычные банковские трояны работают более-менее автономно, то банкботы способны получать различные управляющие команды и выполнять их на зараженном девайсе.

Команды могут передаваться по HTP, например в формате JSON, по SMS, а в некоторых случаях даже через специальный Telegram-канал. Большинство банкботов по команде включают или отключают перехват входящих SMS-сообщений, могут скрывать полученные SMS (прятать можно сообщения с определенных номеров или с заданными ключевыми словами), отключать звук мобильного телефона, отправлять сообщения на указанный злоумышленниками номер с заданным содержимым или выполнять USSD-команды. Также ботовод может изменить адрес управляющего сервера или системный номер телефона, на который будет пересылаться информация, если ее не удалось передать по HTP.

Следующая страница