RU EN
За безопасность надо платить, в противном случае - расплачиваться.
Уинстон Черчилль
Премьер-министр Великобритании
Создатель Android-банкера Exobot продал его исходный код
22 Янв. 2018

Создатель трояна Exobot, одного из самых технически продвинутых вариантов вредоносного ПО для платформы Android, в декабре 2017 года продал исходный код программы на известном хакерском форуме. Об этом сообщил Ченгиз Хан Шахин (Cengiz Han Sahin), эксперт по безопасности мобильных устройств из голландской компании SfyLabs. Специалист обеспокоен высокой вероятностью возникновения множества новых модификаций Android-банкеров.

Exobot был одним из самых активных банковских троянов на Android-устройствах за последние два года наряду с BankBotAcecardMazar Bot и Red Alert. Вредонос существует с 2013 года и также известен как Marcher. За это время программа менялась, наращивая свои возможности и совершенствуя методы атаки, однако цель ее оставалась неизменной: под видом страницы оплаты магазина Google Play похитить данные банковских карт у пользователей.

С 2016 года основным вектором атак стали SMS- или MMS-сообщения, в которых содержались ссылки на поддельные версии популярных приложений — WhatsApp, Netflix, Runtastic, игры Super Mario Run, а позднее — приглашения на порносайты.

Ссылки вели на сторонние ресурсы, где жертва устанавливала вредоносное ПО под видом приложения или новой версии Adobe Flash Player. После этого пользователь сам давал вредоносному приложению права администратора и доступ ко всем необходимым функциям. Это позволяло трояну не только отслеживать SMS-сообщения от банков с кодами подтверждения, но и отображать оверлеи поверх приложений платежных систем, а также блокировать антивирусы. Имея права администратора, Marcher либо вовсе блокировал запуск защитного ПО, либо не давал ему разрешения на блокировку.

Автор Exobot не раскрывал исходный код трояна, предоставляя клиентам только панель настройки для компиляции вредоноса с конкретными пользовательскими установками. Основываясь на сведениях, которые репортер Bleeping Computer собрал в беседах с многочисленными экспертами по безопасности, Exobot приносил стабильную прибыль создателю и пользовался популярностью у целевой аудитории по всему миру.

Тем не менее, в декабре 2017 года автор под псевдонимом android повесил на известном хакерском форуме объявление о продаже исходного кода программы «ограниченному числу покупателей». По словам Хан Шахина, создатель зловреда заявил, что «стал очень богатым».

«В мире вредоносного ПО такое заявление обычно означает одно из двух: либо он заметил всплеск интереса к нему со стороны представителей закона или конкурентов, либо его бизнес действительно очень успешен, и соотношение риска и выгоды больше не представляет интереса».

Каковы бы ни были причины, продажа Exobot может иметь серьезные последствия для мобильных Android-систем, сравнимые с эффектом снежного кома: исходный код со временем неизбежно просочится в Интернет, и хакеры начнут экспериментировать, создавая новые версии троянов.

«Не прошло и месяца после продажи, как в Австрии, Англии, Нидерландах и Турции начались новые кампании. В ходе расследования мы с удивлением обнаружили, что число ботов в Турции было в три раза выше, чем у бот-сетей, нацеленных на другие страны», — прокомментировал исследователь.

В прошлом году началом волны вредоносных приложений, распространявшихся через Google Play, стала утечка исходного кода безвестного банковского вредоноса. После этого его доработали и заложили в основу BankBot, чьи атаки Google пришлось отбивать в течение всего года.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.