Банкер, который может украсть все

Ранее мы видели, как права суперпользователя используют рекламные приложения, такие как Leech, Guerrilla, Ztorg. Тогда как, например, для банковских зловредов атаки с использованием root-привилегий нетипичны, ведь деньги можно украсть множеством способов, не требующих повышенных прав. Но в начале февраля 2016 года «Лаборатория Касперского» обнаружила банковский троянец Trojan-Banker.AndroidOS.Tordow.a, создатели которого решили, что root-привилегии будут полезны. Мы следили за развитием этого зловреда и установили, что возможности Tordow значительно превзошли функциональность большинства обнаруженных ранее банковских зловредов и это позволило злоумышленникам использовать новые виды атак.

Проникновение

Заражение Tordow начинается с установки одного из популярных приложений, например, «ВКонтакте», «ДругВокруг», «Покемон Go», «Телеграм», «Одноклассники» или «Subway Surf». В данном случае речь идет не об оригинальных приложениях, а об их копиях, распространяемых вне официального магазина Google Play. Вирусописатели скачивают легитимные приложения, разбирают их и добавляют новый код и новые файлы.

Добавленный в легитимное приложение код

Провести такую операцию может любой человек, обладающий небольшими знаниями в области разработки под Android. В результате получается новое приложение, которое очень похоже на оригинальное и выполняет заявленные легитимные функции, но при этом обладает необходимой для злоумышленников вредоносной функциональностью.

Принцип работы

В исследуемом случае внедренный в легитимное приложение код расшифровывает файл, добавленный злоумышленниками в ресурсы приложения, и запускает его.

Запущенный файл обращается к серверу злоумышленников и скачивает основную часть Tordow, которая содержит ссылки на скачивание еще нескольких файлов – эксплойта для получения рута, новых версий зловреда и так далее. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый скачанный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей зловреда, их количество и функциональность также зависят от пожеланий хозяев Tordow. Так или иначе, у злоумышленников появляется возможность удаленно управлять устройством посредством отправки команд с управляющего сервера.

В итоге киберпреступники получают полный набор функций для кражи денег пользователя методами, уже ставшими традиционными для мобильных банковских троянцев и вымогателей. В функциональность вредоносного приложения входят:

• Отправка, кража, удаление SMS.
• Запись, перенаправление, блокирование звонков.
• Проверка баланса.
• Кража контактов.
• Осуществление звонков.
• Изменение управляющего сервера.
• Скачивание и запуск файлов.
• Установка и удаление приложений.
• Блокировка устройства с показом веб-страницы, заданной сервером злоумышленников.
• Составление и передача злоумышленникам списка содержащихся на устройстве файлов; отправка, переименование любых файлов.
• Перезагрузка телефона.

Права суперпользователя

Помимо скачивания модулей собственно банковского троянца, Tordow (в рамках прописанной цепочки загрузки модулей) скачивает еще и популярный пакет эксплойтов для получения прав root, что предоставляет зловреду новый вектор атаки и уникальные возможности.

Во-первых, троянец устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым.

Во-вторых, при помощи прав суперпользователя злоумышленники похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен.

Код отправки на сервер данных из браузеров

В таких базах содержатся все логины и пароли, сохраненные пользователем в браузере, история посещений, файлы cookie и даже иногда сохраненные данные банковских карт.

Логин и пароль от определенного сайта в базе данных браузера

Таким образом злоумышленники могут получить доступ ко множеству аккаунтов жертвы на различных сайтах.

И в-третьих, права суперпользователя позволяют похитить практически любой файл в системе – от фотографий и документов до файлов с данными аккаунтов мобильных приложений.

Результатом таких атак может стать хищение огромного количества важнейших данных пользователя. Мы рекомендуем не устанавливать приложения из неофициальных источников и использовать антивирусные решения для защиты своего Android-устройства.

MD5

06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D