Ноябрь 27, 2018 4:18 | epol1394 |

Активизировался новый троян вымогатель Roxety. Он атакует мобильные устройства пользователей и совмещает банковский троян и вымогателя. Всего зарегистрировано больше 70 000 атак. Как распространяется, чем грозит, и как защититься узнаете в этой статье.

Эксперты в области интернет-безопасности сообщают, что среди множества вирусов, направленных на мобильные устройства, наибольшую активность получил Rotexy. Согласно данным о зарегистрированных атаках, с августа по сентябрь произошло около 70 тысяч атак на устройства пользователей. Причемзначительное количество — 98% в России. Итак, давайте разберемся, что за вирус, чем опасен и что делает.

 

Распространение

 

Впервые Rotexy был обнаружен в 2014 году, и с тех пор особых изменений передачи не было. Злоумышленники отправляют СМС сообщения или спам рассылки на почту, где расположена ссылка на установку вирусного приложения. О фишинговых письмах, мы писали в предыдущей нашей статье, с которой советуем ознакомиться. Устанавливая приложение, пользователю необходимо дать разрешение на дополнительные права — как и при любой установке. Приложение запрашивает права администратора, то есть SuperUser.

 

Процесс получения прав следующий: приложение выдает пользователю запрос, в случае отклонения в предоставлении прав вирус отправляет запрос снова через секунду. Запросы высвечиваются каждую секунду. Когда пользователи согласится, приложение проходит регистрацию в GCM сервисе и запускает утилиту контроля прав. Она опрашивает состояние доступных прав для приложения и выдает запрос на предоставление в случае попытки отзыва. Есть и интересный механизм защиты — если пользователь вручную пытается отозвать права доступа для приложения, вирус отключает экран устройства, мешая жертве.

«HeroRat»-троян-атакует-андроиды

 

Небольшое отступление по GCM. GoogleCloudMessaging (GCM) — мобильный сервис, разработанный компанией Google. Он позволяет передавать на мобильные устройства уведомления, данные и команды. Сообщения содержат не больше 4 Кбайт информации. Нужен этот сервис для того, чтобы в приложениях показывались актуальные данные. Всплывающие новости, оповещения для скачивания новой версии ПО и так далее.

 

Вымогатель и банковский вирус

 

Изначально Rotexy был отнесен к классу СМС перехватчиков, так как функций вымогателя и банковского вора у него не было. Злоумышленник только получал и управлял сообщениями жертвы. Но в последних модификациях трояна добавились новые возможности для кражи данных. Приложение отправляет данные об ОС на телефоне и обо всех процессах и пользовательских файлах. Среди них наибольший интерес у преступников вызывают приложение мобильного банка и антивирус.

virus-android-20160624-001 (1)

Троян показывает поддельные страницы html, пытаясь вытащить из пользователя платежную информацию или вымогая деньги. Причем приложение позволяет блокировать экран пользователя так, что убрать его нельзя. При получении банковской информации, злоумышленник использует ее и получает перехваченный 4-х значный код из СМС-оповещения.

Избавляемся!

Итак, если уже понятно, что телефон заражен вирусом, первое что надо сделать — отключить злоумышленника. Можно попробовать переключить телефон в авиарежим или отключить передачу мобильных данных, но радикальный и самый действенный способ — вытащить симку. Тогда никакая программа не включит интернет на вашем устройстве. Дальше стараемся убрать права доступа у приложения. Будет сложно, так как вирус постарается помешать. Но, если получится — просто удаляем его с телефона. Если же отключить пора не получается, советуем установить антивирус через компьютер. То есть скачать .apk файл антивируса и передать его через USB на смартфон. Дальше установить и удалить троян.

 

Удалить вредоносное ПО гораздо сложнее, чем предотвратить его появление на устройстве. Поэтому крайне советуем пользоваться мобильным антивирусом BitDefenderMobile. Он не позволит злоумышленникам украсть ваши данные и защитит девайс от угроз.

 

 


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.