Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Преступники  распространяют банкер Flexnet через SMS

22/03/19

FlexnetАналитики компании «Доктор Веб» изучили банковский троян Flexnet, построенный на исходниках известной малвари GM Bot и представляющий угрозу для пользователей Android. Напомню, что сам GM Bot ИБ-специалисты отслеживали с 2014 года, а в 2016 году исходные коды малвари попали в открытый доступ, после чего на базе этой малвари было создано немало вредоносов.

По данным «Доктор Веб», первые версии Flexnet, в которых использовались наработки авторов GM Bot, появились вскоре после утечки исходных кодов, но атаки на владельцев Android-устройств продолжаются до сих пор.

В настоящее время злоумышленники распространяют банкера при помощи SMS-спама. В сообщениях потенциальным жертвам предлагается перейти по ссылке и загрузить ту или иную программу или игру. Троян маскируется под приложения «Друг вокруг», GTA V, инструменты для раскрутки аккаунтов в Instagram и «ВКонтакте» и так далее.

При запуске банкер запрашивает права администратора, показывая стандартное диалоговое окно. Если жертва предоставляет ему нужные полномочия, троян сообщает о якобы возникшей ошибке и «прячет» свой значок с экрана приложений. Так он скрывается от пользователя и пытается затруднить свое удаление.

По сравнению с другими современными Android-банкерами возможности Flexnet весьма ограничены. Троян способен только перехватывать и отправлять SMS-сообщения, а также выполнять USSD-запросы. Впрочем и этих функций оказывается вполне достаточно для кражи средств пользователей.

Например, злоумышленники пополняют внутриигровые счета в популярных играх через SMS. Эта схема работает следующим образом. Сначала троян проверяет баланс банковской карты пользователя, отправляя SMS-запрос в систему обслуживания мобильного банкинга. Затем он перехватывает ответное сообщение с информацией об остатке на счете и передает эти сведения своим операторам. Далее они формируют запрос на пополнение баланса интересующей их игры. В запросе указывается номер телефона жертвы и сумма для перевода. После этого пользователю приходит SMS с проверочным кодом. Flexnet перехватывает это сообщение, передает его содержимое мошенникам, а те отдают банкеру команду на отправку SMS с полученным кодом для подтверждения операции.

Также троян способен переводить деньги с банковских карт жертв на счета своих операторов. Однако кредитные организации при помощи специальных алгоритмов отслеживают подозрительные операции, поэтому вероятность блокировки такого перевода очень высока, тогда как  описанные выше схемы позволяют мошенникам в течение длительного времени похищать относительно небольшие суммы и оставаться незамеченными.

Еще одна функция Flexnet — похищение конфиденциальных данных. Злоумышленники могут получать доступ к аккаунтам пользователей социальных сетей, интернет-магазинов, личным кабинетам на сайтах операторов связи и другим онлайн-сервисам. Зная номер мобильного телефона жертвы, злоумышленники пытаются выполнить вход в ее учетную запись. На этот номер поступает одноразовый проверочный код, который троян перехватывает и отправляет своим «хозяевам».

Сообщается, что при содействии регистратора REG.ru были блокированы несколько управляющих серверов Flexnet, и часть зараженных устройств злоумышленники больше не контролируют.

Темы:Угрозытрояны"Доктор Веб"SMS
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Можно ли обойтись без потокового антивируса в NGFW?
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    NGFW помимо других модулей обработки трафика включают в себя и потоковый антивирус – технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...