Перейти к публикации
1
1
1
1
1
RabbitRun

Новая версия банковского трояна Faketoken шифрует файлы пользователей

Рекомендованные сообщения

В последнее время все большее количество банковских троянов оснащается дополнительной функциональностью, в частности вредоносы могут играть роль полноценного шифровальщика. И хотя основной задачей банкеров по-прежнему является хищение данных о банковских картах, учетных данных от банковских порталов и другой конфиденциальной информации, разработчики малвари предпочитают иметь еще один способ монетизации.

В большинстве случаев банкер начинает работать как шифровальщик, если он не справился со своей основной задачей, ведь далеко не все жертвы используют банковские приложения. Хотя стоит сказать, что на мобильных девайсах большинство информации сохранятся в облаке, так что вымогать деньги за расшифровку файлов зачастую тоже бессмысленно. Тем не менее, многие злоумышленники считают, что функциональность шифровальщика может пригодиться и выступить в роли «плана Б».

Ранее угрозы такого рода обнаруживали уже не раз, за примерами не нужно ходить далеко. Прародителем вымогательских банкеров стал троян Svpeng, замеченный еще в 2014 году. Вскоре, у него появились подражатели. К примеру, в мае 2016 года специалисты «Доктор Веб» описали трояна Android.SmsSpy.88, работающего по вышеописанной схеме. В этом же месяце эксперты Trend Micro нашли мобильного вредоноса Fanta SDK, который использует функции блокировщика, чтобы отвлечь жертву. Пока пользователь пытается понять, что произошло с его устройством, мошенники крадут его деньги, перехватывают SMS-сообщения от банка и так далее. А буквально несколько дней назад аналитики компании Comodo сообщили о появлении новой версии банковского Android-трояна Tordow v2.0, который тоже научился шифровать файлы.

19 декабря 2016 года специалист «Лаборатории Касперского» Роман Унучек описал на страницах Securelist новую модификацию Trojan-Banker.AndroidOS.Faketoken (далее просто Faketoken). Суммарно специалисты обнаружили несколько тысяч установочных пакетов Faketoken, способных шифровать данные, самый ранний из которых относится к июлю 2016 года. Жертвами банкера уже стали более 16 000 человек в 27 странах, но в основном это пользователи из России, Украины и Германии и Таиланда. Сообщается, что обнаруженная модификация трояна атакует более 2000 финансовых приложений со всего мира.

Унучек пишет, что Faketoken маскируется под различные программы и игры, часто выдает себя за Adobe Flash Player. Вредонос умеет взаимодействовать с защитными механизмами операционной системы, например, запрашивать право на перекрытие окон других приложений или право быть приложением по умолчанию для работы с SMS. Благодаря этому Faketoken может воровать данные пользователя даже в последних версиях Android.
Назначив себя приложением для работы с SMS по умолчанию, а также получив разрешение на отображение своих окон поверх других приложений, троян переходит к активным действиям. С управляющего сервера Faketoken загружает базу данных, содержащую фразы на разных языках для 77 разных локализаций устройства. Используя эти фразы, малварь показывает пользователю различные фишинговые сообщения (учитывая язык операционной системы).
Если жертва попадается на удочку и нажимает на предложенную ссылку, она попадает на фишинговую страницу, имитирующую легитимный сервис. Банкер умеет имитировать Gmail, перекрывает оригинальное приложение Google Play своим фишинговым окном для кражи данных банковской карты жертвы. Более того, от управляющего сервера троянец может получить список атакуемых приложений и HTML страницу-шаблон, на основе которой генерируются фишинговые страницы для атакуемых приложений. Исследователи «Лаборатории Касперского» зафисировали, как Faketoken получил список из 2249 финансовых приложений со всего мира.

Но помимо функциональности банковского трояна Faketoken также обладает возможностью вымогать деньги. При этом вредонос не просто блокирует экран, но действительно может шифровать файлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...