Laboratoře Quick Heal Security zjistily systém Android Banking, který se zaměřuje na více než 232 bankovních aplikací včetně těch, které nabízejí indické banky. Malware je známý jako Android.banker.A2f8a (dříve detekován jako Android.banker.A9480).
Stejně jako většina jiných malware pro Android banking, i tento je určen k odcizení přihlašovacích pověření, krádeži SMS, nahrávání seznamů kontaktů a SMS a jejich přenosu na podvodný server, zobrazování překryvné obrazovky (zachycení detailů) aplikací a provádění dalších škodlivých činností.
Infekční vektor
Aplikace Android.banker.A2f8a se šíří prostřednictvím falešné aplikace Flash Player v obchodě třetích stran. To není překvapující vzhledem k tomu, že Adobe Flash je jedním z nejrozšířenějších produktů na internetu. Vzhledem k jeho popularitě a globální instalační základně je často využíván útočníky.
Technická analýza
Po instalaci škodlivé aplikace tato požádá uživatele, aby aktivoval práva pro správu. A i když uživatel odmítne požadavek nebo tento proces sestřelí, bude aplikace stále vyhazovat vyskakovací okna, dokud uživatel neaktivuje oprávnění administrátora. Jakmile se to stane, škodlivá aplikace skryje svou ikonu.
Aplikace na pozadí pak provádí škodlivé úkoly – neustále kontroluje nainstalovanou aplikaci na zařízení oběti a zejména vyhledává 232 aplikací (bankovnictví a některé aplikace s kryptoměnami).
Pokud se na infikovaném zařízení nachází některá z cílených aplikací, podvodná aplikace zobrazí falešné oznámení jménem této cílené bankovní aplikace. Jakmile uživatel klepne na oznámení, zobrazí se falešná přihlašovací obrazovka, která ukradne důvěrné informace uživatele, jako je jeho ID a heslo pro přihlášení k jeho bankovnímu účtu.
Během analýzy bylo laboratoří Quick Heal Security zjištěno, že malware byl schopen přijímat a zpracovávat následující příkazy ze serveru C & C:
| Send_GO_SMS | Send an SMS |
| GetSWSGO | Collect all SMS from the device |
| nymBePsG0 | Upload list of contacts to a malicious server |
| telbookgotext | Send SMS to all contacts with the text from its command |
| StartAutoPush | Show fake notification |
| RequestPermissionInj | ACCESSIBILITY Permission |
| RequestPermissionGPS | GPS Permission |
| killBot | Set all urls null in Shared Preferences |
| getIP | Upload location to a malicious server |
| ussd | Send a USSD request |
1. Kdykoli klient obdrží od serveru příkaz „startAutoPush“, zobrazí se s ikonou cílené aplikace falešné oznámení (název: „Urgentní zpráva!“ A k tomu text: „Potvrďte svůj účet“). Kliknutím na oznámení uživatel přejde na falešnou přihlašovací stránku, jak bylo popsáno výše.
Během analýzy nebyl C & C server funkční; takže nebylo možné sledovat dynamickou aktivitu aplikace.
2. Malware může zachytit všechny příchozí a odchozí zprávy SMS z infikovaného zařízení. To umožňuje útočníkům zabránit dvoufaktorové autentizaci založené na SMS na bankovním účtu oběti (OTP). Malware byl také schopen odesílat SMS s dynamicky přijatým textem a číslem ze strany serveru.
3. Kdykoli klient obdrží příkaz „GetSWSGO“ ze serveru, shromáždí všechny SMS uložené v zařízení a nahraje je na podvodný server.
4. Malware může také nastavit hlasitost vyzvánění na tiché, aby bylo potlačeno oznámení příchozích SMS.
5. Kdykoli klient obdrží od serveru příkaz „nymBePsG0“, odešle kontakty oběti na server útočníka.
Seznam aplikací, které jsou ohroženy a týkají se naší oblasti:
- cleverlance.csas.servis24 (SERVIS 24 Mobilni banka)
- csob.smartbanking
- sberbankcz (Smart Banking)
Podvodná aplikace
Název aplikace: přehrávač Flash Player
Název balíčku: yqyJqWdtdf.UOaOrquyRDgLFgGueha
MD5: 29cf5cc309c2e29b6afd63eb5ab8fbd2
Velikost: 115 KB
Rychlá detekce a léčení
Quick Heal úspěšně zjistí tento Android Banking Trojan jako Android.banker.A2f8a.
Důležitá poznámka: Přehrávač Adobe Flash byl zrušen po verzi Android 4.1, protože je k dispozici v samotném mobilním prohlížeči. V obchodu Google Play tedy není k dispozici žádný oficiální přehrávač Adobe Flash Player. Společnost Adobe také oznámila, že přestane aktualizovat a distribuovat přehrávač Flash do konce roku 2020 ve všech formátech prohlížeče.
Tipy na to, abyste byli v bezpečí před androidovými trojany
- Vyhněte se stahování aplikací z obchodů aplikací třetích stran nebo odkazů uvedených v SMS nebo e-mailech.
- Vždy udržujte nastavení „Instalace z neznámých zdrojů“ neaktivní. Povolení této možnosti umožňuje instalaci aplikací z neznámých zdrojů.
- Nejdůležitější je ověřit oprávnění aplikace před instalací jakékoli aplikace, a to i z oficiálních obchodů, jako je Google Play.
- Nainstalujte spolehlivou aplikaci pro zabezpečení pro mobilní zařízení, která dokáže detekovat a zablokovat falešné a škodlivé aplikace dříve, než mohou infikovat vaše zařízení.
- Vždy udržujte aktuální informace o operačním systému a mobilní aplikaci.
Gajanan Khond | Quick Heal Security Labs
