Первая модификация банковского троянца Android.ZBot была обнаружена еще в феврале этого года и получила по классификации Dr.Web имя Android.ZBot.1.origin. Начиная с этого момента вирусные аналитики компании «Доктор Веб» стали пристально следить за активностью данного вредоносного приложения.
Как и многие другие Android-троянцы, Android.ZBot.1.origin распространяется злоумышленниками под видом безобидной программы (в данном случае — приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другим вредоносным ПО. После того как жертва установит и запустит банкер, тот запрашивает у нее доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран сообщение об ошибке, предлагая перезагрузить устройство.
Если же пользователь отказывается предоставить троянцу необходимые полномочия, Android.ZBot.1.origin тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого банкер показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Примечательно, что аналогичное окно троянец отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.
Далее Android.ZBot.1.origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой ОС. Тем самым троянец обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера банкер выполняет следующие действия: отправляет СМС с заданным текстом на указанный номер; совершает телефонный звонок; отправляет СМС по всем телефонным номерам из книги контактов; перехватывает входящие СМС; получает текущие GPS-координаты; показывает специально сформированное диалоговое окно поверх заданного приложения.
Например, сразу после того как на управляющем сервере регистрируется новое зараженное устройство, троянец получает команду на проверку состояния банковского баланса пользователя. Если вредоносная программа обнаруживает наличие денег, она автоматически переводит заданную злоумышленниками сумму на подконтрольные им счета. Таким образом, Android.ZBot.1.origin может получить доступ к управлению банковскими счетами владельцев мобильных Android-устройств и незаметно для пользователей похитить деньги при помощи специальных СМС-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от банков сообщения с проверочными кодами транзакций.
Примечательно, что часть вредоносного функционала Android.ZBot.1.origin (например, отправка СМС-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки c именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает банкеру защиту от детектирования антивирусами и позволяет ему дольше находиться на зараженных устройствах необнаруженным.
Однако одна из главных особенностей Android.ZBot.1.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, но механизм ее любопытен. Вначале троянец получает от злоумышленников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В настоящий момент троянец контролирует запуск следующих приложений: ru.sberbank.ivom, ru.sberbank_sbbol, ru.raiffeisennews, ru.vtb24.mobilebanking.android, PSB.Droid, com.idamob.tinkoff.android, ru.simpls.brs2.mobbank, ru.kykyryza, com.smpbank.android, ru.ftc.faktura.sovkombank, hu.eqlsoft.otpdirektru, ru.ftc.faktura.sovkombank, uk.co.danwms.fcprem, ru.sberbankmobile, ru.alfabank.mobile.android, ru.alfabank.oavdo.amc, com.openbank, ru.ucb.android, com.idamobile.android.hcb, com.idamobile.android.ubrr, com.NGSE.Ubrir, com.citibank.mobile.ru, com.ubrir, ru.rshb.mbank, com.bssys.android.SCB, ru.bpc.mobilebank.android, ua.privatbank.ap24.old, ru.bspb, com.svyaznoybank.ui, ru.avangard, ru.minbank.android, ru.letobank.Prometheus, rusfinance.mb.client.android, com.artofweb.mkb, com.compassplus.InternetBankingJava.wscb, ru.stepup.MDMmobileBank, ru.abr, com.intervale.mobilebank.rosbank, ru.pkb, ru.stepup.vbank, ru.vbrr, com.idamobile.android.Trust, org.bms.khmb, ru.tcb.dbo.android, ru.beeline.card, ru.rocketbank.r2d2.
Как только необходимая программа начинает работу, банкер при помощи функции WebView формирует специальную веб-форму, содержимое которой загружает с удаленного узла.
В частности, киберпреступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения и т. п. При этом выводимая на экран форма «привязывается» к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки «Назад», Android.ZBot.1.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. В результате у владельца зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянец получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего злоумышленники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами.
Примечательно, что сами вирусописатели часто позиционируют такие вредоносные функции в качестве веб-инжектов, однако они таковыми не являются, т. к. из-за ограничений ОС Android троянцы не могут встроить посторонний HTML-код в экранные формы атакуемых программ.
На данный момент вирусным аналитикам компании «Доктор Веб» известно о нескольких модификациях вредоносного приложения Android.ZBot.1.origin, которое киберпреступники применяют преимущественно против российских пользователей. В частности, обнаруженная в феврале первая версия троянца до сих пор весьма активна: только в прошедшем ноябре антивирусные продукты Dr.Web для Android зафиксировали банкера на более чем 1100 устройствах. А за весь период наблюдений на Android-смартфонах и планшетах троянец был найден в общей сложности 25 218 раз.
Другую модификацию вредоносной программы, получившую имя Android.ZBot.2.origin, вирусные аналитики «Доктор Веб» выявили в июне. Эта версия троянца обладает аналогичным Android.ZBot.1.origin функционалом и отличается от своего предшественника лишь тем, что ее код зашифрован, чтобы усложнить обнаружение антивирусами. В ноябре банкер Android.ZBot.2.origin был найден на 6238 смартфонах и планшетах, а с момента внесения его в вирусную базу антивирусное ПО Dr.Web для Android зафиксировало 27 033 случая проникновения троянца на Android-устройства.
При изучении банкера вирусные аналитики «Доктор Веб» выяснили, что все его известные варианты контролируются киберпреступниками через различные управляющие серверы, адрес каждого из которых хранится в специальной базе данных конкретной версии вредоносного приложения. В результате зараженные различными модификациями Android.ZBot.1.origin мобильные устройства «общаются» только со своими удаленными узлами и образуют самостоятельные бот-сети. В общей сложности специалисты «Доктор Веб» зафиксировали более 20 управляющих серверов троянца, при этом как минимум 15 из них по-прежнему продолжают свою работу. В настоящий момент нашим вирусным аналитикам удалось получить доступ к трем подсетям ботнета Android.ZBot.1.origin. Каждая из них состоит из десятков и даже тысяч инфицированных устройств и насчитывает от 140 до более чем 2300 зараженных смартфонов и планшетов.
Наличие большого числа активных подсетей Android.ZBot.1.origin может говорить о том, что этот банковский троянец представляет собой коммерческий продукт и реализуется вирусописателями через подпольные хакерские площадки, где его приобретают злоумышленники-одиночки или организованные группы киберпреступников. В пользу этого говорит и тот факт, что панель администрирования для бот-сетей, построенных на основе зараженных Android.ZBot.1.origin мобильных устройств, имеет ограниченную лицензию и фактически используется как услуга по подписке. Нельзя исключать и того, что сетевые мошенники не ограничатся атаками на российских пользователей и в скором времени расширят географию применения вредоносного приложения на другие страны, включая Европу и США.
Компания «Доктор Веб» рекомендует владельцам смартфонов и планшетов под управлением ОС Android использовать для загрузки приложений только проверенные источники ПО и не устанавливать подозрительные программы. Все известные модификации троянца Android.ZBot.1.origin успешно детектируются антивирусными средствами Dr.Web для Android.