Поиск

Компания ESET обнаружила новую вредоносную программу, атакующую пользователей компьютеров под управлением операционных систем Windows: зловред получил название BackSwap. Главная задача трояна — кража средств с банковских счетов жертв. Причём механизм атаки реализован с применением довольно оригинальной тактики, позволяющей обходить продвинутые механизмы защиты. Эксперты говорят, что обычно банковские трояны внедряют в процессы браузера вредоносный код, с помощью которого отслеживается посещение сайтов финансовых организаций. В ходе атаки происходит изменение НТТР-трафика или перенаправление жертвы на фишинговый сайт. Это сложная задача, поскольку антивирусные продукты и защитные механизмы браузера распознают такое внедрение кода. BackSwap действует иначе. Зловреду не требуется внедрение кода в процессоры браузера. Троян идентифицирует работу с онлайн-банком с помощью событий Windows в цикле ожидания сообщений. После этого вредоносный код внедряется в веб-страницу через консоль разработчика в браузере или в адресную строку. «Так, чтобы внедрить скрипт в адресную строку, BackSwap имитирует нажатие комбинаций клавиш: CTRL+L для выбора адресной строки, DELETE для очистки поля, CTRL+V для вставки вредоносного скрипта и ENTER для его выполнения. Когда процесс завершён, адресная строка будет очищена, чтобы скрыть следы компрометации», — объясняет ESET. Подобная схема позволяет обойти защитные механизмы и усыпить бдительность жертвы. Атака может осуществляться в различных браузерах, включая Google Chrome и Mozilla Firefox.

Общее количество абонентов, подключившихся к мобильной связи в рамках всех MVNO-проектов, которые реализует на своей сети оператор Tele2 (ООО "Т2 Мобайл"), превысило 1 млн. При этом, как заявил генеральный директор Tele2 Сергей Эмдин, банки являются одним из сегментов, наиболее активно интересующихся запуском MVNO-проектов. Tele2 уже принял участие в запуске двух банковских MVNO, но не останавливается на достигнутом. По словам руководителя оператора, переговоры ведутся еще с несколькими банками федерального уровня, и в 2018 г. на сети Tele2 планируется запустить новые банковские MVNO-проекты. О том, что общее количество абонентов всех MVNO-проектов, которые Tele2 реализует на своей сети, превысило 1 млн, Сергей Эмдин рассказал на встрече с журналистами, которая состоялась в Петербурге. Данные о том, сколько из этих абонентов приходится на долю какого MVNO, в Tele2 не раскрывают. Но по словам руководителя Tele2, львиная доля из этого миллиона приходится на MVNO-проект "Ростелекома" (напомним, Tele2 и "Ростелеком" входят в СП "Т2 РТК Холдинг"). Как ранее сообщали источники в ПАО "Ростелеком", в середине февраля 2018 г. абонентская база MVNO-проекта приблизилась к 900 тыс. человек. При этом Сергей Эмдин отметил, что, помимо операторов фиксированной связи, банковский сектор - это самый большой сегмент как существующих, так и потенциальных клиентов, которые интересуют оператора с точки зрения запуска MVNO. Напомним, Tele2 уже принял участие в запуске двух банковских MVNO. Так, Сбербанк запустил MVNO-проект на сети Tele2 под брендом "Поговорим". Продажи начались в Петербурге и Ленинградской области в августе прошлого года. А с февраля 2018 г. продажа SIM-карт MVNO "Поговорим" стартовала в Москве и Московской области. Кроме того, в середине декабря 2017 г. также на инфраструктуре Tele2 Тинькофф Банк объявил о запуске MVNO "Тинькофф Мобайл". "Банки видят хороший потенциал для развития MVNO-проектов, поскольку они позволяют предлагать продукты на стыке телекома и банковских услуг. Стратегии могут быть различными: какие-то банки видят MVNO как инструмент развития программы лояльности, кто-то - как отдельный бизнес. Так или иначе - банковский сектор проявляет живой интерес к MVNO. Уже запущенные на нашей сети банковские MVNO не будут последними", - говорит Сергей Эмдин. По его словам, Tele2 ведет переговоры с несколькими банками федерального масштаба о создании MVNO. "Мы рассчитываем, что в 2018 г. на нашей сети будет запущен еще ряд банковских MVNO", - отметил Сергей Эмдин. "MVNO для нас - это большая история на 2018 г. В 2017 г. мы ставили задачу стать "фабрикой MVNO-проектов". На сегодняшний день более 10 MVNO-проектов уже запущено, несколько находятся в активной фазе реализации, и в текущем году мы уже рассчитываем увидеть выручку от этих проектов", - говорит Сергей Эмдин и отмечает, что задачей на 2018 г. помимо запуска полномасштабных MVNO является развитие MVNE-проектов. Соответствующую платформу оператор уже запустил в конце 2017 г. Кроме того, по словам руководителя Tele2, в области развития MVNO оператор видит большой потенциал в корпоративном секторе, когда крупные компании хотят создать MVNO для внутренних нужд. "Такие проекты мы тоже планируем реализовать в 2018 г. Помимо банков, ретейла и операторов фиксированной связи, следующий большой сегмент для нас - это корпоративные MVNO", - рассказал Сергей Эмдин. Говоря в целом о планах Tele2 по развитию в 2018 г., Сергей Эмдин отметил, что текущий год будет более простым для компании, поскольку оператор намерен продолжать реализовывать стратегию, которую начал в прошлом году. "Если в прошлом году для нас было большим вопросом, "полетит" ли новая стратегия, понравится ли она нашим текущим и будущим клиентам, то теперь мы идем по проторенному пути. Многое из того, что мы начали делать в прошлом году, мы будем масштабировать и улучшать", - говорит он. Напомним, что новую стратегию Tele2 представил в начале 2017 г. Она рассчитана на 2017-2021 гг. и предусматривает выход оператора за пределы традиционной отрасли телекома. По словам генерального директора Tele2, в 2018 г. у оператора нет больших амбиций в части увеличения абонентской базы (за исключением тех регионов, где абонбаза у Tele2 является аномально низкой), но есть большие амбиции по увеличению показателя ARPU, а также выводу на рынок новых продуктов - как предложений из области телекома, так и продуктов из смежных отраслей.

В начале этой недели в адрес OnePlus стали поступать жалобы от покупателей о странной активности на счетах их банковских карт после того, как они оформили заказ в фирменном интернет-магазине компании. В связи с обращениями клиентов OnePlus заблокировала возможность оплаты товаров картами на сайте oneplus.net и начала расследование. Его результаты оказались неутешительными: китайский производитель смартфонов вынужден был признать утечку данных 40 000 пользователей. Скомпрометированы номера, сроки действия и коды безопасности их карт. Накануне OnePlus разослала своим клиентам электронные письма (полный текст на английском языке приведён на скриншоте выше), в которых принесла извинения за инцидент. Кроме того, она призвала их сообщать о любых подозрительных транзакциях в банк, чтобы упростить процедуру возврата несанкционированных платежей в случае их совершения мошенниками. Всем, чьи карты были скомпрометированы, компания планирует обеспечить бесплатный мониторинг состояния счёта сроком на год. Напомним, что OnePlus была основана в 2013 году группой компаний BBK Electronics. Свой первый смартфон — OnePlus One — она анонсировала 23 апреля 2014 года и позиционировала его как «убийцу флагманов». На протяжении первого года продаж за пределами Китая купить его можно было только по специальным приглашениям.

«Мегафон» объявил о том, что воспользовавшись банковской картой «Мегафона» и оплатив товары или услуги с помощью устройств Apple, клиенты получает кешбэк (возврат платежа) в размере 20% на каждую третью покупку. Сумма возврата потраченных средств не может превышать 1500 рублей в месяц. Отличие карты «Мегафона» заключается в том, что у нее единый счет с мобильным телефоном, то есть при работе с платежной системой Apple денежные средства будут списываться со счета мобильного телефона. Это еще одно преимущество использования карты «Мегафона» в привязке к Apple Pay. «Мы постоянно запускаем новые выгодные предложения для владельцев наших банковских карт и особое внимание уделяем самым современным технологиям и цифровым сервисам. С картами "Мегафона" вы можете получить максимум от вашего смартфона: теперь к кешбэку мегабайтами добавился еще 20% кэшбэк для тех, кто пользуется Apple Pay с помощью нашей банковской карты», - прокомментировал Ян Кухальский, директор по новым бизнесам и партнерствам компании «Мегафон». Банковскую карту «Мегафон» представил осенью 2016 года и в течение года было выдано более миллиона карт. По итогам первого полугодия 2017 года общая сумма транзакций составила 9 млрд руб. Эмитентом банковских карт «Мегафон» является «Банк Раунд», генеральная лицензия ЦБ РФ №2506 от 14 ноября 2012 г.

Сотрудники Управления «К» МВД России совместно с оперативниками отдела «К» МВД по Республике Татарстан задержали злоумышленников, промышлявших хищением средств с банковских карт россиян. Согласно сообщению пресс-службы МВД, мошенники создавали фишинговые страницы, имитирующие ресурсы популярных платежных систем и сервисов по продаже авиабилетов. Получив банковские реквизиты жертв, мошенники использовали их для кражи денег со счетов и электронных кошельков граждан. Группировка действовала с 2015 года, ежемесячный доход злоумышленников составлял примерно 1 млн рублей. Руководил группой мошенников житель Казани. Он покупал банковские карты, используемые для вывода похищенных средств. Второй участник группировки занимался созданием кодов и скриптов. Также в его обязанности входило администрирование серверов и поддержка фишинговых ресурсов. Злоумышленники были задержаны на территории Республики Татарстан и Краснодарского края. В ходе проведенных обысков правоохранители изъяли банковские карты, а также компьютеры, на которых было установлено программное обеспечение, применявшееся для противоправных действий. В отношении задержанных было возбуждено уголовное дело по статьям 272 УК РФ («Неправомерный доступ к компьютерной информации») и 158 УК РФ («Кража»). Сумма ущерба, нанесенного действиями злоумышленников, не уточняется.

Eset предупреждает о новой волне интернет-мошенничества. Злоумышленники рассылают фишинговые письма от имени платежной системы Mastercard и используют для кражи данных пользователей взломанный сайт правительства Мексики. Сообщение спамеров начинается с неперсонализированного приветствия. В тексте письма говорится о блокировке учетной записи в платежной системе. Чтобы восстановить доступ к сервисам Mastercard, пользователю предлагают перейти по ссылке и обновить информацию. Если жертву не смутит отсутствие личного обращения и адрес отправителя, не имеющий отношения к Mastercard, он перейдет на поддельный сайт. Там, согласно «законам жанра», его ожидает анкета для ввода персональных и платежных данных, включая номер, срок действия и CVV банковской карты. Заполнив анкету и нажав кнопку «Ввод», пользователь отправит все данные злоумышленникам. Информация может быть использована для списания средств с карты. Спам-атака могла бы показаться рядовой, если не одна особенность – фишинговая страница размещена на домене .gob.mx, который принадлежит правительству Мексики. Вероятно, злоумышленники получили доступ к учетной записи администратора домена или использовали уязвимость сервера. Специалисты Eset сообщили об инциденте в Центр реагирования на компьютерные угрозы Мексики (СERT-МХ). Eset рекомендует игнорировать неперсонализированные сообщения, не переходить по ссылкам из них, а также защитить компьютер комплексным антивирусным ПО с функциями «Антифишинг» и «Антиспам».

Теперь держатели банковских карт «МегаФона» смогут оплачивать покупки с помощью Samsung Pay. Сервис можно использовать для совершения повседневных покупок в любых местах, где принимают банковские карты. Для оплаты достаточно провести по экрану снизу вверх и поднести смартфон к платёжному терминалу. При этом ваша личная информация не используется во время оплаты, а каждая платежная операция подтверждается отпечатком пальца или PIN-кодом приложения. Отличие банковской карты «МегаФона» от других в том, что счёт мобильного телефона и банковской карты единый, а это значит, что при оплате через Samsung Pay деньги будут списываться со счета мобильного телефона. - По итогам первого полугодия уже более 800 000 карт получено клиентами «МегаФона», скоро перешагнем и 1 000 000 — это свидетельствует о том, что наша карта востребована и популярна. Поэтому мы продолжаем активно развивать наш продукт: вместе с кэшбэком за покупки у наших партнеров у пользователей карты появилось уникальное преимущество — при любой оплате он получает дополнительно 10 мегабайт на интернет за каждые 100 руб. А теперь, вместе с сервисом бесконтактной оплаты Samsung Pay, воспользоваться всеми преимуществами карты «МегаФона» становится еще удобнее — комментирует Ян Кухальский, директор по новым бизнесам и партнерствам компании «МегаФон».

В России утвержден новый ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер». Национальный стандарт будет введен с 1 января 2018 года согласно приказу Росстандарта от 8 августа 2017 года. Об этом сегодня сообщила пресс-служба Банка Росси. Согласно документу, к планированию, реализации, контролю и совершенствованию процесса защиты данных в банках необходимо подходить комплексно. Стандарт описывает требования к организации всех основных процессов защиты информации, в том числе меры по предотвращению утечек и нарушения целостности информационной инфраструктуры, а также по защите от атак с использованием вредоносного ПО. Предписания по защите информации при осуществлении операций через мобильные устройства указаны отдельным пунктом. Кроме того, стандарт описывает требования по обеспечению безопасности данных на всех этапах жизненного цикла используемых в финорганизациях автоматизированных систем и приложений. «Переход на новые стандарты позволит финансовым организациям повысить уровень защищенности от киберпреступлений, обеспечить стабильное и бесперебойное обслуживание клиентов», - сообщает пресс-служба Банка России.

Уважаемые абоненты! Позвольте проинформировать Вас об изменении банковских реквизитов для оплаты средств за предоставление программной услуги спутникового ТВ для физических лиц. Новые реквизиты: ООО «Вижн ТВ» Идентификационный код (ЕГРПОУ): 34696608 П / с: 26001020037992 в Акционерном Банке «ПИВДЕННИЙ» МФО 328209 Назначение платежа: Оплата за предоставление программной услуги спутникового ТВ по договору № (10 цифр номера договора указываете самостоятельно) за период (месяц, год). В случае поступления денег по старым реквизитам в течение 6 месяцев, они будут перечислены банком по назначению на счет ООО «Вижн ТВ» с новыми реквизитами. С уважением, Команда Viasat

«Лаборатория Касперского» сообщает о том, что в России активно распространяется новая модификация вредоносной программы под названием Neutrino. Зловред атакует POS-терминалы и крадёт данные банковских карт. Основная часть атак пришлась именно на нашу страну. Кроме того, троян проявляет активность в Алжире, Казахстане, Украине и Египете. Нужно отметить, что оригинальная версия Neutrino уже достаточно давно известна антивирусным компаниям. С момента своего появления вредоносная программа неоднократно меняла свои функции и методы распространения. Новая модификация зловреда является довольно необычной. На этот раз троян охотится за данными банковских карт, которые проходят через заражённые платёжные терминалы. Любопытно, что, попав в операционную систему POS-терминала, Neutrino не сразу начинает активность. Троян приступает к сбору информации, выждав некоторое время. Эксперты полагают, что таким образом он, скорее всего, пытается обойти защитные технологии, запускающие подозрительный код в изолированной виртуальной среде, так называемые «песочницы», с коротким периодом работы. Эксперты говорят, что Neutrino в очередной раз служит подтверждением тому, что кибеугрозы постоянно эволюционируют. Новые версии известных зловредов становятся сложнее, а их функциональность расширяется. Пользователи, информацию о банковских картах которых украл зловред Neutrino, рискуют потерять свои деньги.

Приговором Октябрьского районного суда г. Архангельска уроженцы Республики Коми 28-летний Антон Лямин и 27-летний Александр Фазилов осуждены за мошенничество в сфере компьютерной информации. Суд над обвиняемыми состоялся 31 января нынешнего года, приговор вступил в законную силу 3 июня, сообщает пресс-служба прокуратуры Архангельской области. Судом установлено, что в октябре 2013 года Лямин и Фазилов приобрели вредоносное ПО, позволяющее осуществлять доступ, уничтожение и копирование информации о банковских картах, в том числе переводить денежные средства со счетов граждан на принадлежащие Лямину и Фазилову мобильные телефоны и кошельки в электронных платежных системах. Распространение вредоносной программы осуществлялось посредством SMS-рассылки. Используя вредоносное ПО, злоумышленники в период с мая по сентябрь 2014 года похитили в общей сложности 605 753,88 рублей с банковских карт 36 россиян, а также пытались украсть денежные средства у 7 граждан на сумму более 122 тыс. рублей. По совокупности преступлений суд приговорил Антона Лямина к 3 годам 6 месяцам лишения свободы с отбыванием наказания в колонии-поселении. Александр Фазилов получил 4 года 6 месяцев, которые он проведет в колонии общего режима. С осужденных также была взыскана компенсация причиненного ими материального ущерба.

Вечером 9 июня произошел сбой в работе платежных терминалов Сбербанка, затронувший также и другие финорганизации. Согласно сообщению пресс-службы банка, в течение 40 минут часть клиентов испытывала сложности в проведении операций по интернет-эквайрингу, при осуществлении переводов и снятии наличных в PoS-терминалах и устройствах самообслуживания по картам MasterСard и «Мир». Как полагают, технический сбой мог быть связан с тем, что серверы авторизации интернет-платежей оказались в перечне заблокированных в РФ IP-адресов. Предположительно, кто-то из владельцев заблокированных ресурсов воспользовался уязвимостью в реестре Роскомнадзора и внес служебные серверы Сбербанка в список запрещенных ресурсов. Об уязвимости в реестре Роскомнадзора стало известно некоторое время назад. Она заключается в возможности привязывать сторонние IP-адреса к уже заблокированным в России доменам, чем и пользуются некоторые владельцы сайтов, попавших в список запрещенных. Ранее данная схема использовалась для блокировки ресурса самой надзорной службы, а также сайтов ряда СМИ. С таким мнением согласен директор по распространению технологий «Яндекса» Сергей Бакунов. «Похоже огромный список внутренних систем российских банков залетел под блокировальную машину Роскомнадзора. И не только они, заблокированы многие адреса верификации 3D Secure, что сильно затрудняет так же платежи в интернете», - отметил он в своем сообщении в Telegram. Как сообщает МВД, в связи с распространённой в сети Интернет ложной информации о якобы сбоях в работе платёжных систем ряда крупных российских банках в результате DNS-атаки начата проверка. МВД России совместно с Роскомнадзором установили лиц, причастных к распространению заведомо ложной информации.

Виртуальная реальность воспринималась исключительно как технология, направленная на развлекательные или образовательные цели. Британская компания WorldPay намерена же использовать VR-наработки для совершения финансовых операций. Её одноимённая платёжная система, известная далеко за пределами Туманного Альбиона, в рамках экспериментального тестирования расширила область действия за счёт цифрового пространства. WorldPay предлагает оригинальную концепцию, суть которой заключается в простой и понятной интерактивности процесса совершения платежа на просторах виртуальной реальности. Для демонстрации того, как была реализована данная идея, британцы воспользовались гарнитурой HTC Vive вместе с её контроллерами. Операции с банковской картой в трёхмерном цифровом пространстве похожи на таковые в реальной жизни. Сначала пользователь должен выбрать один из виртуальных предметов, который он желает приобрести. При удержании взгляда на виртуальном ценнике система отобразит платёжные карточки, привязанные к учётной записи клиента. Для подтверждения покупки в виртуальной комнате имеется терминал, к которому потребуется приложить условную банковскую карту, а затем ввести пароль для подтверждения сделки. В целом, практическая реализация безналичной оплаты в виртуальной реальности не сильно отличается от метода покупок с помощью карты в реальном мире. В WorldPay уверены, что их инициатива может заинтересовать IKEA и других именитых производителей, которые начали экспериментировать с VR-направлением и рассчитывают «взять его на вооружение» для организации продаж в новом формате. Исследование рынка показало, что сам подход осуществления банковских операций через VR-софт всерьёз воспринимают далеко не везде. Наиболее перспективным для продвижения данного решения кажется Китай, жители которого считают его интересным и вполне удобным.

В ходе проведенной операции сотрудники отдела «К» МВД по Чувашии задержали на территории Башкортостана, Свердловской и Самарской областей участников хакерской группировки, промышлявших кражей средств с банковских карт россиян при помощи вредоносных программ. Преступники инфицировали мобильные устройства граждан вредоносным ПО, получали доступ к данным банковских карт и выводили средства со счетов пострадавших. По данным следствия, группировка действовала на территории России с 2015 года. Только в Чувашии жертвами злоумышленников стали порядка 3 тысяч человек. Предположительно, организаторами преступной группы являлись двое жителей Уфы, один из них являлся разработчиком троянов и занимался техническим обеспечением вредоносных рассылок. Двое непосредственных исполнителей были задержаны в Екатеринбурге и Самаре. В ходе обысков правоохранители изъяли 20 компьютеров и ноутбуков, порядка 4 тысяч SIM-карт, 65 мобильных телефонов, 13 банковских карт и другое оборудование для рассылки вредоносных сообщений. В отношении задержанных возбуждено уголовное дело по ч. 2 ст. 158 УК РФ (хищение средств) и ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ).

Интерпол уведомил Центробанк РФ о похищении большого объема данных банковских карт россиян, отдыхавших за границей. Об этом в пятницу, 17 марта, сообщило издание «РИА Новости» со ссылкой на заместителя начальника главного управления безопасности и защиты информации Центробанка Артема Сычева. По словам Сычева, скомпрометированными оказались карты целого ряда финансовых организаций. Количество затронутых пользователей эксперт не назвал, однако отметил, что весь объем похищенной хакерами информации составляет почти 500 МБ. «Там набор реквизитов карт, эмитированных разными российскими банками. Объем большой – карт много», – цитируют Сычева журналисты «РИА Новости». Похоже, данные были похищены с помощью скимминга. Карты использовались россиянами в Европе, скорее всего, в Болгарии и Румынии. Именно румынские специалисты сообщили Центробанку РФ о похищенной информации. Все затронутые утечкой финансовые организации получили соответствующие уведомления.

Вирусная лаборатория Eset обнаружила мобильный банковский троян для Android с функцией блокировки экрана. Зловред маскируется под приложения с прогнозом погоды на Google Play, сообщили сегодня в Eset. В ходе установки вредоносная программа запрашивает у пользователя расширенные права в системе. Когда установка завершена, троян выводит на главный экран виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передается в фоновом режиме на командный сервер. Троян распознает популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников, меняя пароль — предположительно, эта функция используется в момент списания средств со счета, чтобы скрыть кражу от жертвы, отметили в компании. Специалисты Eset обнаружили первую версию трояна на Google Play 4 февраля. Зловред маскировался под приложение Good Weather и искал на скомпрометированных устройствах одно из 22 банковских приложений, используемых в Турции. Через два дня поддельное приложение было удалено из магазина. Уже 14 февраля на Google Play появилась обновленная версия вредоносной программы. Она распространялась до 20 числа включительно — на этот раз под названием World Weather. Функционал трояна не изменился, но теперь кампания расширила охват и была нацелена на пользователей 69 британских, австрийских, немецких и турецких банковских приложений. После предупреждения Eset вредоносные приложения были удалены из Google Play, хостинговая компания обезвредила сервер злоумышленников. Троян можно удалить при помощи мобильного антивируса или вручную, предварительно отключив права администратора устройства. Eset NOD32 Mobile Security для Android детектирует новые угрозы как Trojan.Android/Spy.Banker.HU и Trojan.Android/Spy.Banker.HW.

«Доктор Веб» объявила о том, что ожидается рост числа атак банковских троянцев на пользователей Android.Как рассказали в компании, современные банковские троянцы для ОС Android создаются вирусописателями и за немалые деньги продаются как коммерческие продукты через подпольные интернет-площадки. Недавно на одном из хакерских форумов в свободном доступе появился исходный код одного из таких вредоносных приложений вместе с инструкциями по его использованию.Вирусные аналитики компании «Доктор Веб» полагают, что это может привести к значительному увеличению количества Android-банкеров и росту числа совершаемых с их помощью атак. Вирусописатели опубликовали исходный код нового вредоносного приложения лишь месяц назад, однако специалисты компании «Доктор Веб» уже обнаружили Android-банкера, созданного на основе предоставленной киберпреступниками информации.Троянец, получивший имя Android.BankBot.149.origin, распространяется под видом безобидных программ. После того как пользователь смартфона или планшета устанавливает и запускает Android.BankBot.149.origin, банкер запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Затем он прячется от пользователя, убирая свой значок с главного экрана. screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb Далее Android.BankBot.149.origin подключается к управляющему серверу и ожидает от него команд.Троянец может выполнять следующие действия: отправлять СМС-сообщения; перехватывать СМС-сообщения; запрашивать права администратора; выполнять USSD-запросы; получать из телефонной книги список номеров всех имеющихся контактов; рассылать СМС с полученным в команде текстом по всем номерам из телефонной книги; отслеживать местоположение устройства через спутники GPS; запрашивать на устройствах с современными версиями ОС Android дополнительное разрешение на отправку СМС-сообщений, выполнение звонков, доступ к телефонной книге и работу с GPS-приемником; получать конфигурационный файл со списком атакуемых банковских приложений; показывать фишинговые окна.Как и многие современные Android-банкеры, Android.BankBot.149.origin крадет у пользователей конфиденциальную информацию, отслеживая запуск приложений «банк-клиент» и ПО для работы с платежными системами.Исследованный вирусными аналитиками «Доктор Веб» образец контролирует запуск более трех десятков таких программ. Как только Android.BankBot.149.origin обнаруживает, что одна из них начала работу, он загружает с управляющего сервера соответствующую фишинговую форму ввода логина и пароля для доступа к учетной записи банка и показывает ее поверх атакуемого приложения. screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb Помимо кражи логинов и паролей троянец пытается похитить информацию о банковской карте владельца зараженного мобильного устройства.Для этого Android.BankBot.149.origin отслеживает запуск популярных приложений, таких как Facebook, Viber, Youtube, Messenger, WhatsApp, Uber, Snapchat, WeChat, imo, Instagram, Twitter и Play Маркет, и показывает поверх них фишинговое окно настроек платежного сервиса каталога Google Play. screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb screen Android.BankBot.149.origin #drweb.При поступлении СМС троянец выключает все звуковые и вибросигналы, отправляет содержимое сообщений злоумышленникам и пытается удалить перехваченные СМС из списка входящих. В результате пользователь может не только не получить уведомления от кредитных организаций с информацией о незапланированных операциях с деньгами, но и не увидит другие сообщения, которые приходят на его номер. Все украденные Android.BankBot.149.origin данные загружаются на управляющий сервер и доступны в панели администрирования. С ее помощью киберпреступники не только получают интересующую их информацию, но и управляют вредоносным приложением. screen Android.BankBot.149.origin #drweb.В целом возможности этого троянца являются вполне стандартными для современных Android-банкеров. Однако поскольку киберпреступники создали его с использованием доступной любому желающему информации, можно ожидать появления множества новых аналогичных троянцев.Антивирусные продукты Dr.Web для Android успешно обнаруживают Android.BankBot.149.origin, поэтому для наших пользователей он опасности не представляет.