Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Android.BankBot.34.origin

Added to the Dr.Web virus database: 2015-03-18

Virus description added:

Le Trojan ciblant les appareils mobiles sous Android. Ce malware est conçu pour voler les données confidentielles des utilisateurs, ainsi que de l'argent sur les comptes mobiles et bancaires. Il peut être distribué sous couvert d'une mise à jour système.

screen

Après son installation, Android.BankBot.34.origin place son raccourci sur l'écran principal qui ressemble au raccourci d'une application populaire. le Trojan supprime son raccourci, si son lancement a été effectué par l'utilisateur de l'appareil mobile. Sinon, ce raccourci reste sur l’écran. Le Trojan peut se lancer automatiquement lors du démarrage du système d'exploitation (pour ce faire, il utilise le contrôle d'événement système android.intent.action.BOOT_COMPLETED).

Suite à son initialisation, Android.BankBot.34.origin demande les droits administrateur de l'appareil mobile.

screen

Le vol de données confidentielles.

Le Trojan surveille l'activité de l'utilisateur et attend le lancement des applications suivantes :

  • Google Play (com.android.vending);
  • Google Play Music (com.google.android.music);
  • WhatsApp (com.whatsapp);
  • Viber (com.viber.voip);
  • Instagram (com.instagram.android);
  • Skype (com.skype.raider);
  • " VKontakte " (com.vkontakte.android) ;
  • " Odnoklassniki " (ru.ok.android) ;
  • Facebook (com.facebook.katana);
  • Gmail (com.google.android.gm);
  • Twitter (com.twitter.android).

Si l'utilisateur lance une de ces applications, Android.BankBot.34.origin affiche sur son interface une fenêtre de phishing avec des champs dans lesquels l'utilisateur doit entrer ses données confidentielles (login et mot de passe, numéro de téléphone, données de la carte bancaire). Le Trojan envoie toutes les données recueillies en JSON (JavaScript Object Notation) au serveur de gestion. Par exemple, des données de carte bancaire ont la forme suivante :

JSONObject v3 = new JSONObject();
v3.put("type", "card information");
JSONObject v1 = new JSONObject();
v1.put("number", card.getNumber());
v1.put("month", card.getMonth());
v1.put("year", card.getYear());
v1.put("cvc", card.getCvc());
v3.put("card", v1);
JSONObject v0 = new JSONObject();
v0.put("first name", address.getFirstName());
v0.put("last name", address.getLastName());
v0.put("street address", address.getStreetAddress());
v0.put("city", address.getCity());
v0.put("country", address.getCountry());
v0.put("zip code", address.getZip());
v0.put("phone", address.getPhone());
v3.put("billing address", v0);
JSONObject v2 = new JSONObject();
v2.put("vbv password", info.getVbvPass());
v3.put("additional information", v2);
v3.put("code", v5.getString("APP_ID", "-1"));
screen screen screen
screen screen screen
screen screen
screen screen

La communication avec le serveur de gestion et l'exécution des commandes.

Pour transférer les données volées aux malfaiteurs, ainsi que pour recevoir les commandes, Android.BankBot.34.origin se connecte au serveur de gestion situé dans le réseau anonyme Tor sur le pseudo domaine http://[xxxxxxxxx]wxnoyew.onion/. Android.BankBot.34.origin peut utiliser un protocole anonyme, car son code inclut les fragments d'une application org.torproject.android légitime. Si le serveur principal n'est pas disponible, le Trojan utilise un serveur de gestion de réserve, situé à l'adresse http://[xxxxx]panel.ru/send.php.

Au cours de la première connexion avec le serveur de gestion, le Trojan effectue l'enregistrement de l'appareil mobile (son modèle, le numéro IMEI, la version de l'OS) :

JSONObject v1 = new JSONObject();
 try {
    v1.put("type", "device info");
    v1.put("phone number", Utils.getPhoneNumber(context));
    v1.put("country", Utils.getCountry(context));
    v1.put("imei", Utils.getIMEI(context));
    v1.put("model", Utils.getModel());
    v1.put("sms", new JSONArray(Utils.readMessagesFromDeviceDB(context)));
    v1.put("operator", Utils.getOperator(context));
    v1.put("os", Utils.getOS());
    v1.put("client number", "10");

Android.BankBot.34.origin peut exécuter les commandes suivantes :

  • activer ou désactiver l'interception des SMS entrants et sortants ;
  • envoyer une requête USSD ;
  • ajouter un numéro dans la black liste afin de bloquer les SMS provenant de ce numéro (par défaut, cette liste inclut les numéros de service des opérateurs mobiles, de la banque en ligne) ;
  • nettoyer la black liste ;
  • envoyer au serveur la liste des applications installées ;
  • envoyer un SMS ;
  • envoyer au serveur l'identificateur unique du malware ;
  • afficher une boîte de dialogue ou un message sur l'écran. Les paramètres de ce message sont reçus dans une commande.

News sur cette menace

Recommandations pour le traitement


Android

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile le produit antivirus gratuit Dr.Web для Android Light. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur une violation grave de la loi ou une demande de rançon s’affichent sur l'écran de l'appareil mobile), procédez comme suit :
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil contaminé le produit antivirus gratuit Dr.Web для Android Light et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android