В ходе совместного исследования эксперты Avast и SfyLabs пришли к выводу, что атаки Android-банкера Catelites Bot на территории России — лишь начало более масштабной киберкампании. Анализ показал, что данный троян вооружен оверлеями для приложений более 2 тыс. банков, включая Santander и Barclays.

Исследователи также обнаружили, что некоторые ключевые свойства Catelites Bot роднят его с банкером CronBot, операторы которого были задержаны в России в ноябре прошлого года (последний участник этой ОПГ был арестован в Санкт-Петербурге в начале апреля). По оценке экспертов, к моменту задержания сообщники успели заразить более 1 млн мобильных устройств и украсть как минимум 50 млн рублей со счетов россиян.

Свидетельств прямой связи Catelites Bot со стоявшей за Cron группой эксперты Avast и SfyLabs не обнаружили. Вполне возможно, что автор новоявленного мобильного зловреда попросту раздобыл коды CronBot и адаптировал этого троянца под свои нужды.

Анализ Catelites Bot показал, что, в отличие от CronBot (который оперирует веб-инжектами), он использует технику оверлея — накладывает прозрачный фишинговый экран поверх окна легитимной программы. При этом зловред, по словам исследователей, умеет «автоматически и в интерактивном режиме скачивать с Google Play логотипы и имена банковских Android-приложений».

Поддельные формы регистрации, которые выводит Catelites Bot, не очень похожи на оригиналы: троян использует типовые шаблоны для кражи банковских данных. По всей видимости, его авторы больше уповают на «эффект дробовика», атакуя миллионы пользователей и тысячи банков. При этом подходе всегда найдутся несколько не очень внимательных владельцев онлайн-счета, которые и попадутся на крючок.

Распространяется Catelites Bot через сторонние магазины приложений, вредоносные сайты или загружается с помощью adware. Устанавливается он как «системное приложение» и сразу запрашивает права администратора. Получив их, троянец убирает иконку System Application с рабочего стола, а вместо нее появляются три новых — Gmail, Google Play и Chrome. Если жертва не заметит подмены и воспользуется этими короткими путями, ее учетные данные будут похищены.

Также Catelites Bot отслеживает открытие банковских приложений и для кражи данных активирует механизм оверлея. Кроме этих основных особенностей, исследователи обнаружили еще ряд функций, которые пока не используются. Так, данный троян способен перехватывать входящие и исходящие SMS-сообщения, выключать звук, регистрировать задачи, выполняемые другими приложениями, стирать сохраненные данные и надежно блокировать зараженное устройство.

«Пока зловред Catelites атакует лишь пользователей России, — цитирует IBTimes UK представителя Avast. — Мы полагаем, что он проходит первоначальную обкатку, и авторы атак намерены расширить его распространение, атакуя банки по всему миру. Анализ C&C-сервера показал, что на настоящий момент число заражений составляет около 9 тысяч».

Заметим, результаты поиска в Google обнаружили ряд прошлогодних записей о Catelites Bot — в основном сделанные на основе рекламных текстов на теневых форумах, так что эта угроза сравнительно недавно вырвалась на оперативный простор.

googling Catelites Bot

googling Catelites Bot 1

googling Catelites Bot 2

Техника оверлея пришла на мобильные платформы не так давно и активно осваивается. Рост популярности оверлейных Android-зловредов наблюдается с мая прошлого года и, похоже, пока не идет на спад. Яркими представителями этой разновидности мобильных банкеров являются Acecard, Faketoken, Svpeng, Red Alert 2.0, BankBot и ToastAmigo.

Категории: Аналитика, Вредоносные программы, Главное