Многофункциональный банковский Android-троян Tordow может похитить все

Эксперты «Лаборатории Касперского» обнаружили банковский Android-троян, обладающий необычным функционалом для вредоносного ПО подобного рода. Первая версия вредоноса, получившего название Trojan-Banker.AndroidOS.Tordow.a (по классификации ЛК), была обнаружена в феврале нынешнего года. С тех пор программа значительно эволюционировала и обзавелась функционалом, позволяющим ее операторам осуществлять новые типы атак.

Заражение Tordow начинается с установки одного из популярных приложений, например, «ВКонтакте», «ДругВокруг», «Покемон Go», «Телеграм», «Одноклассники» или «Subway Surf». В данном случае речь идет не об оригинальных приложениях, а об их копиях, распространяемых вне официального магазина Google Play. Вирусописатели скачивают легитимные приложения, разбирают их и добавляют новый код и новые файлы.

Провести такую операцию может любой человек, обладающий небольшими знаниями в области разработки под Android. В результате получается новое приложение, которое очень похоже на оригинальное и выполняет заявленные легитимные функции, но при этом обладает необходимой для злоумышленников вредоносной функциональностью.

Запущенный файл обращается к серверу злоумышленников и скачивает основную часть Tordow, которая содержит ссылки на скачивание еще нескольких файлов – эксплойта для получения рута, новых версий зловреда и так далее. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый скачанный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей зловреда, их количество и функциональность также зависят от пожеланий хозяев Tordow. Так или иначе, у злоумышленников появляется возможность удаленно управлять устройством посредством отправки команд с управляющего сервера.

В итоге киберпреступники получают полный набор функций для кражи денег пользователя методами, уже ставшими традиционными для мобильных банковских троянцев и вымогателей. В функциональность вредоносного приложения входят:

• Отправка, кража, удаление SMS.
• Запись, перенаправление, блокирование звонков.
• Проверка баланса.
• Кража контактов.
• Осуществление звонков.
• Изменение управляющего сервера.
• Скачивание и запуск файлов.
• Установка и удаление приложений.
• Блокировка устройства с показом веб-страницы, заданной сервером злоумышленников.
• Составление и передача злоумышленникам списка содержащихся на устройстве файлов; отправка, переименование любых файлов.
• Перезагрузка телефона.

Помимо скачивания модулей собственно банковского троянца, Tordow (в рамках прописанной цепочки загрузки модулей) скачивает еще и популярный пакет эксплойтов для получения прав root, что предоставляет зловреду новый вектор атаки и уникальные возможности. Во-первых, троянец устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым. Во-вторых, при помощи прав суперпользователя злоумышленники похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Таким образом злоумышленники могут получить доступ ко множеству аккаунтов жертвы на различных сайтах. И в-третьих, права суперпользователя позволяют похитить практически любой файл в системе – от фотографий и документов до файлов с данными аккаунтов мобильных приложений.

Результатом таких атак может стать хищение огромного количества важнейших данных пользователя. Мы рекомендуем не устанавливать приложения из неофициальных источников и использовать антивирусные решения для защиты своего Android-устройства.