Одной из характерных тенденций развития современных банковских услуг является все большая популяризация сервиса дистанционного банковского обслуживания и управления счетами при помощи мобильных устройств.
Такой удобный и простой способ оперирования личными финансами является неоспоримым преимуществом для клиентов кредитных организаций по всему миру, однако он может таить в себе и серьезную угрозу потери денежных средств в случае компрометации используемого смартфона или планшета и получения злоумышленниками доступа к банковскому счету. Одним из мировых лидеров в сфере предоставления услуг мобильнго банкинга в настоящее время является Южная Корея, поэтому неудивительно, что специалисты компании «Доктор Веб» отмечают существенный рост числа мобильных вредоносных приложений, предназначенных для получения нелегального доступа к банковским счетам пользователей именно из этой страны.
Многие Android-троянцы, зафиксированные в Южной Корее за последние несколько месяцев, были способны выполнять кражу различной конфиденциальной информации, включая логины, пароли, секретные коды и другие аутентификационные сведения систем "Банк-Клиент". При этом существенное число таких вредоносных приложений не только предоставляют злоумышленникам необходимые для получения доступа к банковским счетам данные, но также позволяют им осуществлять незаметные финансовые операции непосредственно при помощи зараженных мобильных устройств.
Одной из актуальных угроз подобного рода является вредоносная программа Android.BankBot.20.origin, распространяемая злоумышленниками под видом различных приложений и атакующая клиентов таких южнокорейских кредитных организаций как NH Bank, Shinhan Bank, Woori Bank, KB Kookmin Bank, Hana Bank, ePOSTBANK, KFCC и Busan Bank.
Чтобы загрузить рисунки, щелкните правой кнопкой мыши. Автоматическая загрузка рисунка из Интернета в Outlook была отменена в целях защиты конфиденциальности личных данных.
screenЧтобы загрузить рисунки, щелкните правой кнопкой мыши. Автоматическая загрузка рисунка из Интернета в Outlook была отменена в целях защиты конфиденциальности личных данных.
При запуске троянец запрашивает у пользователя права на доступ к функциям администратора мобильного устройства, после чего удаляет свой значок из списка приложений на главном экране. Далее вредоносная программа крадет и при помощи POST-запроса по протоколу HTTP пересылает на удаленный сервер c адресом http://xxx.xxx.66.249/common/servlet/SendDevice следующую информацию:
телефонный номер;
серийный номер SIM-карты;
наименование модели мобильного устройства;
версия операционной системы;
список установленных приложений «Банк-Клиент» целевых кредитных организаций;
наименование мобильного оператора.
Кроме того, по адресу http://xxx.xxx.66.249/common/servlet/ContactsUpload в формате JSON отправляется информация о сохраненных в телефонной книге контактах. Структура этого запроса имеет следующий вид:
{"contacts":[{"mobile":"Example_number","name":"Example_contact"}],"mobile":"self_number"}. В данном случае параметр «self_number» – это телефонный (серийный) номер SIM-карты инфицированного мобильного устройства.
По команде злоумышленников Android.BankBot.20.origin может блокировать все поступающие телефонные звонки, причем делает это в течение определенного промежутка времени, начиная с 20.06.2014 и заканчивая датой, указанной в его внутренних настройках.
Входящие короткие сообщения троянец также перехватывает на протяжении заданного периода времени, причем все доступные СМС загружаются на сервер по адресам http://xxx.xxx.66.249/common/servlet/SendMassage и http://xxx.xxx.66.249//common/servlet/SendMassage2.
Однако основной вредоносный функционал Android.BankBot.20.origin заключается в подмене легитимных версий мобильных банковских клиентов их поддельными копиями. Для этого троянец проверяет наличие на мобильном устройстве следующих приложений:
nh.smart
com.shinhan.sbanking
com.webcash.wooribank
com.kbstar.kbbank
com.hanabank.ebk.channel.android.hananbank
com.epost.psf.sdsi
com.smg.spbs
com.areo.bs
Полученный список программ загружается на удаленный сервер по адресу http://xxx.xxx.66.249/common/servlet/GetPkg, после чего злоумышленники могут отдать команду на скачивание той или иной поддельной версии банковского приложения, которая помещается в каталог /sdcard/Download/update.