«Всеядный» троянец, маскирующийся под фонарик на Адроид (Flashlight LED Widget), обнаружен на Google Play разработчиками антивирусного софта компании Essential Security against Evolving Threats (ESET). Чрезвычайно опасный «Trojan.Android/Charger.B» похищает пароли от Инстаграмм, Фейсбук, не забывая и про «mobile banking». Новый троян отличается от уже известных malware, имеющих заранее установленный набор целей (приложений) для атаки. «Android/Charger.B» способен самостоятельно выбирать для себя цель, анализируя используемый на устройстве «жертвы» софт. Троян появился 30.03.17 на Google Play, до того момента, как он был удален, его загрузило около 5000 пользователей.
Как он действует?
После запуска, вредоносным приложением запрашивается разрешение на получение прав администратора девайса и на демонстрацию окон сверху иных приложений. Затем осуществляется обращение к удаленному С&С-серверу атакующего злоумышленника, отправляется информация о «пораженном» девайсе, перечне установленных приложений. Троян умеет даже делать фото собственника устройства, используя фронтальную камеру, с последующей отправкой снимка злоумышленнику.
Примечательно, что троян, внедренный в коммуникатор либо планшет, локализованный на белорусской, российской или украинской территории, инактивируется сервером. Возможно, что «атакующие» именно таким способом пытаются уклониться от уголовного преследования на территории этих стран.
После того, как C&C server получает перечень используемых девайсом приложений, имитируется определенная активность, а на «пораженное» трояном устройство отправляется вредоносный HTML-код, который загружается WebView при запуске на гаджете «привлекательного» для злоумышленников приложения. Открывающийся сверху запускаемого софта «поддельный» экран, перекрывает запущенные легитимные процессы, запрашивая средства идентификации пользователя, информацию о банковской карте. Достаточно владельцу ввести в предложенную форму конфиденциальную информацию, как она направляется на C&C server в незашифрованном виде. Установлено, что троян использует для связи ранее никогда не применявшийся канал коммуникаций - FCM (Firebase Cloud Messages).
Несмотря на проведенное лабораторией ESET исследование мобильного банкера, трудно перечислить приложения, являющиеся основной целью «всеядного» троянца, поскольку получаемый HTML-код зависит от конкретного перечня софта, инсталлированного на устройстве. Достоверно известно, что перехватываются и пароли mobile banking, и пароли пользователей соцсетей и Гугл Плей.
«Фонарик-троянец» способен заблокировать экран мобильного устройства, демонстрируя сообщение об осуществляемой загрузке обновления. Скорее всего, данная функция используется как средство сокрытия подозрительной активности при краже денег с банковского счета. «Жертва» ничего не видит и не может предпринять контрмер.
Установлено, что «Android/Charger.B» является модификацией впервые выявленного Check Point в начале года трояна «Android/Charger». Однако, ранняя версия «требовала деньги после блокировки девайса», а нынешняя модификация явно создавалась с целью кражи банковских средств. Подобная эволюция вредоносных программ необычна для Андроид-платформы.
Хоть «Android/Charger.B» и называется мобильным банкером, поскольку используются фишинговые окна, имеется возможность блокировать девайс, но эта модификация гораздо опаснее, нежели ранее исследованные трояны. Она «всеядна» - в ней нет строго определенного перечня объектов воздействия, она способна воздействовать на любой софт, инсталлированный на устройстве жертвы, что открывает для злоумышленников невероятные возможности дальнейшего применения malware.
Поиск «Trojan.Android/Charger.B» осуществляется следующим способом – «Настройки» – «Менеджер приложений/Приложения» – «фонарик Flashlight Widget».
Для снижения вероятности поражения трояном, эксперты ESET советуют скачивать софт лишь на официальных ресурсах, предварительно ознакомившись с комментами и выставленными оценками. При появлении подозрительных запросов с целью получения разрешений, ведь не нужно «фонарику» давать никаких прав администратора, следует отменить инсталляцию софта.