Банківський троян для Android маскується під програвач Flash і обходить автентифікацію 2FA
До списку банків, на компрометацію користувачів яких розрахований троян, входять найбільші банки вищезгаданих країн. Завдяки функції перехоплення SMS-повідомлень, шкідлива програма може оминати захисний механізм двофакторної автентифікації. Сама програма трояна маскується під програвач Flash Player, причому використовує для цього такий самий значок.
Як і в деяких інших випадках шкідливих програм для Android, цей банківський троян просить надати йому права адміністратора в системі в процесі встановлення. Даний механізм самозахисту запобігає спробам видалення шкідливого ПЗ з пристрою. Після успішного встановлення в систему, шкідлива програма приховує від очей користувача значок програвача Flash Player, але сама продовжує працювати у фоновому режимі.
Далі, шкідлива програма взаємодіє зі своїм віддаленим C&C-сервером. Для приховування даних від сторонніх очей бот і сервер використовують кодування base64. Шкідлива програма надсилає на сервер такі дані про пристрій як тип моделі, ідентифікатор IMEI, мову, версію SDK і інформацію про час активації прав адміністратора пристрою в Android. Така інформація надсилається на сервер кожні 25 секунд роботи шкідливої програми. Потім троян збирає список встановлених на пристрої програм (включаючи банківські програми) і надсилає цей список на віддалений сервер. Якщо бот налаштований на компрометацію додатків, C&C-сервер відправляє йому список із 49 різних додатків, на компрометацію яких розраховують зловмисники.
Перші версії трояна виглядали досить просто, при цьому його справжні цілі можна було швидко обчислити. Пізніші версіїшкідливої програми отримали механізми обфускації та шифрування, що ускладнило їх аналіз.
Коли в Android запускається додаток, що цікавить зловмисників, шкідлива програма активізується і показує користувачеві підроблене вікно, яке накладається на вікно банківської програми.
Шкідлива програма також може оминати двофакторну 2FA-автентифікацію, відправляючи на віддалений сервер отримані пристроєм текстові SMS-повідомлення. Це дозволяє зловмисникам своєчасно перехоплювати всі повідомлення від банку і негайно видаляти їх на компрометованому пристрої для приховування шкідливої активності від користувача.
Видалення шкідливої програми
Коли користувач намагається видалити трояна із системи, можливі два різні сценарії. По-перше, користувач може заборонити права адміністратора для програми, а потім видалити фальшивий Flash Player з пристрою. Деактивація прав адміністратора для трояна може бути виконана двома способами. Найпростіший полягає у використанні вбудованого налаштування Android Налаштування-Безпека-Адміністратори пристроїв-Flash Player-Deactivate, потім проігнорувати вікно трояна, що з'явилося, і натиснути ОК.
Після цього у користувача з'являється можливість видалити троян через Налаштування->Менеджер додатків-Flash Player-Видалити.
Процедура видалення може бути складнішою, якщо бот отримав від сервера команду заборонити деактивацію прав адміністратора на пристрої. В цьому випадку, як тількикористувач спробує деактивувати їх, шкідлива програма створить спеціальне вікно, що перекриває, яке не дозволить користувачеві підтвердити відключення прав.
Ще один спосіб безпечної деактивації прав адміністратора полягає у використанні безпечного режиму (Safe Mode). При завантаженні в безпечному режимі Android відключає завантаження сторонніх програм. При цьому користувач може безпечно вимкнути їх, як у першому випадку. Антивірусні продукти ESET виявляють троян якAndroid/Spy.Agent.SI.
Нижче наведено макети фальшивих вікон банківських додатків, які використовуються трояном.
Банки, на компрометацію яких націлений троян:
Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, Національна Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye İş Bankası and Ziraat Bankası.