Контакты
Подписка
МЕНЮ
Контакты
Подписка

Преступники  распространяют банкер Flexnet через SMS

22/03/19

FlexnetАналитики компании «Доктор Веб» изучили банковский троян Flexnet, построенный на исходниках известной малвари GM Bot и представляющий угрозу для пользователей Android. Напомню, что сам GM Bot ИБ-специалисты отслеживали с 2014 года, а в 2016 году исходные коды малвари попали в открытый доступ, после чего на базе этой малвари было создано немало вредоносов.

По данным «Доктор Веб», первые версии Flexnet, в которых использовались наработки авторов GM Bot, появились вскоре после утечки исходных кодов, но атаки на владельцев Android-устройств продолжаются до сих пор.

В настоящее время злоумышленники распространяют банкера при помощи SMS-спама. В сообщениях потенциальным жертвам предлагается перейти по ссылке и загрузить ту или иную программу или игру. Троян маскируется под приложения «Друг вокруг», GTA V, инструменты для раскрутки аккаунтов в Instagram и «ВКонтакте» и так далее.

При запуске банкер запрашивает права администратора, показывая стандартное диалоговое окно. Если жертва предоставляет ему нужные полномочия, троян сообщает о якобы возникшей ошибке и «прячет» свой значок с экрана приложений. Так он скрывается от пользователя и пытается затруднить свое удаление.

По сравнению с другими современными Android-банкерами возможности Flexnet весьма ограничены. Троян способен только перехватывать и отправлять SMS-сообщения, а также выполнять USSD-запросы. Впрочем и этих функций оказывается вполне достаточно для кражи средств пользователей.

Например, злоумышленники пополняют внутриигровые счета в популярных играх через SMS. Эта схема работает следующим образом. Сначала троян проверяет баланс банковской карты пользователя, отправляя SMS-запрос в систему обслуживания мобильного банкинга. Затем он перехватывает ответное сообщение с информацией об остатке на счете и передает эти сведения своим операторам. Далее они формируют запрос на пополнение баланса интересующей их игры. В запросе указывается номер телефона жертвы и сумма для перевода. После этого пользователю приходит SMS с проверочным кодом. Flexnet перехватывает это сообщение, передает его содержимое мошенникам, а те отдают банкеру команду на отправку SMS с полученным кодом для подтверждения операции.

Также троян способен переводить деньги с банковских карт жертв на счета своих операторов. Однако кредитные организации при помощи специальных алгоритмов отслеживают подозрительные операции, поэтому вероятность блокировки такого перевода очень высока, тогда как  описанные выше схемы позволяют мошенникам в течение длительного времени похищать относительно небольшие суммы и оставаться незамеченными.

Еще одна функция Flexnet — похищение конфиденциальных данных. Злоумышленники могут получать доступ к аккаунтам пользователей социальных сетей, интернет-магазинов, личным кабинетам на сайтах операторов связи и другим онлайн-сервисам. Зная номер мобильного телефона жертвы, злоумышленники пытаются выполнить вход в ее учетную запись. На этот номер поступает одноразовый проверочный код, который троян перехватывает и отправляет своим «хозяевам».

Сообщается, что при содействии регистратора REG.ru были блокированы несколько управляющих серверов Flexnet, и часть зараженных устройств злоумышленники больше не контролируют.

Темы:Угрозытрояны"Доктор Веб"SMS

Еще темы...