Описание вредоносного ПО

Банкер, который шифровал файлы

Многие мобильные банкеры могут блокировать устройство с целью вымогательства денег у пользователя. Но одна из обнаруженных нами модификаций мобильного банковского троянца Trojan-Banker.AndroidOS.Faketoken пошла еще дальше – она может зашифровать пользовательские данные. Помимо этого, найденная модификация атакует более 2000 финансовых приложений со всего мира.

Всего нам удалось обнаружить несколько тысяч установочных пакетов Faketoken, способных шифровать данные, самый ранний из которых относится к июлю 2016 года. По нашим данным жертвами банкера стали более 16 000 человек в 27 странах, в основном это пользователи из России, Украины и Германии и Таиланда.

Распространяется Trojan-Banker.AndroidOS.Faketoken под видом различных программ и игр, часто под видом Adobe Flash Player.

Подготовка к работе

Троянец умеет взаимодействовать с защитными механизмами операционной системы, например, запрашивать право на перекрытие окон других приложений или право быть приложением по умолчанию для работы с SMS. Благодаря этому Faketoken может воровать данные пользователя даже в последних версиях Android.

Так, сразу после запуска троянец запрашивает права администратора устройства. Если пользователь не соглашается, Faketoken снова и снова перезапускает окно с запросом этих прав, практически не оставляя ему шансов отказаться.

Банкер, который шифровал файлы

Троянец под видом приложения «Яндекс.Навигатор» запрашивает права администратора устройства

Получив права администратора, Faketoken начинает запрашивать необходимые ему разрешения: на доступ к SMS пользователя, его файлам и контактам, на отправку SMS и совершение звонков. Эти запросы так же будут постоянно демонстрироваться пользователю до принятия им положительного решения.

Далее троянец запрашивает право на отображение своих окон поверх других приложений. Оно необходимо ему для блокировки устройства и кражи данных пользователя посредством показа фишинговых страниц.

Банкер, который шифровал файлы

Запрос троянцем прав на отображение своих окон поверх других приложений

Последним запросом на этапе подготовки троянца к работе будет запрос на право быть приложением для работы с SMS по умолчанию – это позволит Faketoken незаметно от пользователя красть SMS на современных версиях Android. Для этого в троянце реализованы необходимые пользователю возможности для работы с SMS. Но стоит отметить, что на некоторых устройствах и версиях Android попытка пользователя отправить SMS посредством Faketoken приводит к ошибке. В итоге пользователь не может отправить SMS до тех пор, пока вручную не поменяет приложение для работы с SMS. Это не понравится троянцу, и он начнет снова просить это право для себя.

К этапу подготовки троянца к работе также можно отнести манипуляции с ярлыками приложений. Faketoken после запуска скачивает архив с иконками нескольких приложений (в анализируемой версии их было восемь), относящихся к социальным сетям, мессенджерам и браузерам. Затем он пытается удалить предыдущие ярлыки на эти приложения и создать новые.

Банкер, который шифровал файлы

На протестированных устройствах троянцу не удалось удалить предыдущие ярлыки, что в итоге привело к появлению дубликатов

Зачем он это делает – непонятно, ведь созданные Faketoken ярлыки ведут на оригинальные приложения.

Кража данных

После установки ярлыков начинается следующий этап работы троянца – кража данных пользователя. Faketoken загружает с сервера базу данных, содержащую фразы на разных языках для 77 разных локализаций устройства.

Банкер, который шифровал файлы

Скриншот базы данных с фразами на разных языках

Используя те или иные фразы из этой базы, в зависимости от языка операционной системы, троянец будет показывать пользователю различные фишинговые сообщения.

Банкер, который шифровал файлы

Примеры фишинговых сообщений, показываемых троянцем

Если пользователь кликает по сообщению, троянец открывает фишинговую страницу, предназначенную для кражи пароля от аккаунта Gmail. Кроме того, этой же страницей троянец перекрывает оригинальное приложение Gmail с той же целью – украсть пароль.

Банкер, который шифровал файлы

Фишинговая страница, имитирующая страницу логина почтового сервиса Gmail

Но только Gmail зловред не ограничивается. Как и большинство современных мобильных троянцев, Faketoken перекрывает оригинальное приложение Google Play своим фишинговым окном для кражи данных банковской карты жертвы.

Банкер, который шифровал файлы

Фишинговая страница, используемая троянцем для кражи данных кредитной карточки

Кроме того, от управляющего сервера троянец может получить список атакуемых приложений и HTML страницу-шаблон, на основе которой генерируются фишинговые страницы для атакуемый приложений. В нашем случае Faketoken получил список из 2249 финансовых приложений со всего мира.

Банкер, который шифровал файлы Банкер, который шифровал файлы

Пример фишинговых страниц троянца для разных приложений

Хочется отметить, что в троянце реализована возможность вызывать некоторые методы из HTML-страницы, которую троянец получает от C&C-сервера. В результате, кроме просто фишингового функционала, описанные выше страницы могут получить некоторые данные об устройстве, включая адрес аккаунта Gmail, и, что самое неприятное, произвести сброс устройства до заводских установок.

Кроме того, по команде с управляющего сервера Faketoken может выполнить следующие действия

  • Изменить маски для перехвата входящих SMS;
  • Отправить SMS на указанный номер с указанным текстом;
  • Разослать SMS с указанным текстом по указанному списку адресатов;
  • Разослать заданную SMS всем контактам;
  • Загрузить все SMS с устройства на сервер злоумышленника;
  • Загрузить все контакты с устройства на сервер злоумышленников;
  • Загрузить список установленных приложений на сервер злоумышленников;
  • Сбросить устройство до заводских настроек;
  • Совершить звонок на указанный номер;
  • Загрузить на устройство файл по указанной ссылке;
  • Удалить указанные приложения;
  • Создать нотификацию на телефоне, открывающую указанную страницу или запускающую указанное приложение;
  • Начать перекрывать указанные приложения заданным фишинговым окном;
  • Открыть указанную ссылку в собственном окне;
  • Запустить указанное приложение;
  • Заблокировать устройство с целью вымогания денег за разблокировку. Эта команда может содержать опцию, указывающую на необходимость зашифровать файлы.

Банкер-вымогатель

Как упоминалось выше, функции вымогателя в мобильном банковском троянце – это обычное дело; первопроходцем был троянец Svpeng в начале 2014 года. Но новая модификация Faketoken может не только вымогать деньги, блокируя экран, но и шифровать с этой же целью файлы пользователя.

Банкер, который шифровал файлы

Скриншот кода троянца, который переименовывает, а затем шифрует файлы.

После получения соответствующей команды троянец составляет перечень находящихся на устройстве (внешняя память, карта памяти) файлов, соответствующих заданному списку из 89 расширений, и зашифровывает их. Для шифрования используется симметричный алгоритм шифрования AES, что оставляет пользователю шанс на расшифровку файлов без выплаты выкупа; ключ шифрования и вектор инициализации троянец получает от управляющего сервера. Среди шифруемых файлов есть как медиафайлы (картинки, музыка, видео) так и документы. Расширение зашифрованных файлов троянец меняет на .cat.

В завершении хочется отметить, что непопулярность шифрования файлов у разработчиков мобильных троянцев-вымогателей (по крайней мере, в данный момент) может быть связана с тем, что на мобильном устройстве большинство файлов сохранятся также и в облако – это делает вымогательство за их расшифровку бессмысленным.

MD5

7faec9e6e630478ea5faa4a35f999c9f
64d59186e4f7af1bf06b3321fed00712

Банкер, который шифровал файлы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Андрей

    Спасибо. Очень полезная информация.

  2. Александр

    Хардкорщикам не часто нужен ативирус. Кпримеру, я Fakestoken удалил вручную. Между появлением окна с запросом административных прав проходит порядка от 1 до 3 секунд. Этого с головой хватает для одного шага (открыть меню, зайти в настройки, открыть список приложений, сделать свайп и так далее, шаг за шагом). После сих нехитрых, но напряжённых действий я зашёл в свойства этого приложения (у меня был minecraft pe, коорый весил около 6 мб, вместо обычных 14), остановил его, и так как он стал системным, то потом удалил через KingRoot. Всё изи. В итоге хочется сказать, что не нужно впадать в панику, действовать решительно и проверять размер файла перед установкой

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике