Не успел Сбербанк развеять слухи о вводе налога на переводы между клиентами и утрясти историю с утечкой данных, как на радаре появилась новая угроза – троян «GPlayed Banking», который построен с одной определенной ролью – произвести целевую атаку на пользователей Сбербанка, пользующихся функцией автоплатежей.
Вредонос распространяется так же как и его старший собрат GPlayed, маскируясь под фейковое приложение в Google store.
После установки зловред начинает получать права администратора на устройстве, запрашивая у пользователя изменение его настроек. Если пользователь отклоняет запрос, то диалоговое окно запроса будет появляться снова и снова через каждые 5 секунд, пока пользователь, наконец, не предоставит ему права администратора.
Следующим шагом троян скачивает и запускает WebView, и отправляет SMS на сервис автоплатежа Сбербанка на номер 900 со словом «баланс». Получив ответ, вредонос анализирует его для определения баланса счета: если сумма ниже 3 000 руб., то троян ничего не сделает, но вот если больше, то запросит значение 66 000, и будет отправлять запросы, понижая шаг на 1 000, до тех пор пока не будет определен доступный размер денежных средств.
Далее зловреду необходим проверочный код, здесь происходит анализ входящие SMS, содержащий это слово «пароль», чтобы извлечь его и ввести в ранее созданный WebView.
Мы считаем, эта вредоносная программа специально разработана, чтобы обойти механизм 3-D Secure, поскольку она вводит переменную под названием "s3dscode" с извлеченным значением в объект WebView, а пароль на самом деле является кодом проверки, необходимым для подтверждения транзакции. Обработчик приемника SMS, помимо анализа кода 3D secure, также отправит все SMS-сообщения на C2.
В итоге, история с перехватом смс кодов валидации для банковских троянов не нова, однако, этот троян, следом за GPlayed, показывает четкую эволюцию зловредов этого семейства вредоносных программ. Хотя эти файлы еще не были замечены в реальном использовании, они, безусловно, имеют громадный потенциал, для заражения большого количество пользователей и быстрой компрометации банковских данных пользователей. @in4security
Вредонос распространяется так же как и его старший собрат GPlayed, маскируясь под фейковое приложение в Google store.
После установки зловред начинает получать права администратора на устройстве, запрашивая у пользователя изменение его настроек. Если пользователь отклоняет запрос, то диалоговое окно запроса будет появляться снова и снова через каждые 5 секунд, пока пользователь, наконец, не предоставит ему права администратора.
Следующим шагом троян скачивает и запускает WebView, и отправляет SMS на сервис автоплатежа Сбербанка на номер 900 со словом «баланс». Получив ответ, вредонос анализирует его для определения баланса счета: если сумма ниже 3 000 руб., то троян ничего не сделает, но вот если больше, то запросит значение 66 000, и будет отправлять запросы, понижая шаг на 1 000, до тех пор пока не будет определен доступный размер денежных средств.
Далее зловреду необходим проверочный код, здесь происходит анализ входящие SMS, содержащий это слово «пароль», чтобы извлечь его и ввести в ранее созданный WebView.
Мы считаем, эта вредоносная программа специально разработана, чтобы обойти механизм 3-D Secure, поскольку она вводит переменную под названием "s3dscode" с извлеченным значением в объект WebView, а пароль на самом деле является кодом проверки, необходимым для подтверждения транзакции. Обработчик приемника SMS, помимо анализа кода 3D secure, также отправит все SMS-сообщения на C2.
В итоге, история с перехватом смс кодов валидации для банковских троянов не нова, однако, этот троян, следом за GPlayed, показывает четкую эволюцию зловредов этого семейства вредоносных программ. Хотя эти файлы еще не были замечены в реальном использовании, они, безусловно, имеют громадный потенциал, для заражения большого количество пользователей и быстрой компрометации банковских данных пользователей. @in4security