Банковский троян BankBot

Вирус иконка

Второй год в интернете успешно распространяется вирус BankBot. Создатели модифицируют его раз за разом, маскируясь от антивирусов и заманивая пользователей простенькой игрой или подборкой юмористического контента. Как вы уже догадались, банковский троян BankBot публиковался в Google Play, последняя версия Android BankBot была выловлена в конце сентября.

Еще по теме: Лучший фаервол для андроид

Работа трояна BankBot

Для управления чужим телефоном авторы трояна решили не связываться с эксплоитом и просто настойчиво просят об этом пользователя. В данном случае приложение пытается получить доступ ко всему, к чему можно, — от чтения окон до эмуляции нажатий.

Забавно, что злоумышленники вовсю эксплуатируют социальную инженерию, без всякой ложной скромности назвав свое поделие Google Service. Пользователя убеждают, что какая-то очень важная функция не будет работать без его вмешательства.

bankbot как удалить
Неправильный Google Service

Мы уже не раз писали про волшебную силу AccessibilityService. Как видите, некоторым она даже помогает финансово.

Злоумышленники также нещадно эксплуатируют возможности системных окон, не позволяя пользователю что-либо сделать в телефоне, в то время как троян устанавливает дополнительные модули и меняет настройки телефона.

Любопытно, что Google наконец-то отреагировала на проблему и пометила флаг TYPE_SYSTEM_ALERT как устаревший (depticated) — это означает, что в новых версиях API он будет исключен вообще.

Начиная c Android Oreo (это 8-я версия ОС, вышла в августе) вводится флаг TYPE_APPLICATION_OVERLAY, который не закрывает меню и системные уведомления.

Защита от BankBot

Вам нужно быть очень внимательными, когда устанавливаете новое приложение и предоставляете разрешения. Если приложение, которые вы хотите установить запрашивает слишком много разрешений, необходимо задуматься над тем, стоит ли устанавливать его. На худой конец, если все же решите устанавливать, не забудьте про проверку приложений на вирусы, и про правильную установку подозрительных приложений.

Как удалить BankBot

  1. Для начала попробуйте зайти в «Настройки – Приложения» и проверить, имеется ли там приложение под названием Android BankBot. Если вы обнаружили его, сразу же удаляйте.
  2. Для удаления трояна используйте антивирус Dr.Web. Если не поможет, тогда только верните заводские настройки с помощью Хард Резет. Как это сделать в вашей модели телефона вы можете найти в сети.
  3. Если и это не поможет, тогда вам остается менять прошивку.

Вас может заинтересовать статья «Google Play Вирус«, в которой мы рассказывали о том, как вирусы попадают в Google Market.

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий

  1. Влад

    Ребят качайте касперский, и с помощью него и реакции вам удастся удалить его, если всё так глубоко зашло что даже доктор веб не может. Проверил на себе и просто захотел с вами поделится таким способом. Не знаю, может кому то не поможет, но мне помогло.

    Ответить
  2. Николай

    Спасибо за информацию, Касперский лучшей,какие только не пробывал антивирусы, доктор вебер нашёл вирус а удалить не получилось вроде и реакция есть, после прочитанного комментария Влада скачал касперского ,и о Боше случилось чудо. Всем советую у кого такая проблема с троянским конем.

    Ответить
  3. Григорий

    Добрый день!
    В моем случае вирус android/trojan.bankbot.us создал копию плеймаркета и раз в некоторое время открывал сайт https://42134.separia.com/
    Проверил антивирусом он указал на плеймаркет который предложил удалить но т. к. это приложение стандартное то удалить не получилось, тогда решил посмотреть в настройках——-все приложения нашёл плеймаркет (треугольник в кружке) 2 приложение (треугольник без кружка) удалить 2 приложение получилось пока что понаблюдаю за результатом, надеюсь все норм ибо антивирус не нашёл больше вирусов

    Ответить
  4. Данил

    Ребят, тоже столкнулся с этой бедой, скачал доктор веб, не помогло, а потом просто перевел тел в безопасный режим, и через настройки удалил его сам, для справочки безопасный режим запускается так, выключаете телефон, включаете и как только экран загорелся зажимаете кнопку громкости вниз, и держите до полного включения

    Ответить
  5. Елена

    Данил, спасибо за подсказку про переход кнопками громкости. Вы мой спаситель.
    В моем случае блокирует все управление телефоном. Не дает возможности перевода в безопасный режим просто не отзывается кнопка, не пускает никуда в настройках что то изменить где требуется дать разрешение просто сворачивает.. Такой умный зараза. Др.Вэб единственный кто его видит, но удалить не может, касперский даже не запустила- ему нужны разрешения.
    Намучилась с ним! Словила через Авито.

    Ответить
    1. Таша

      Вот и у меня сегодня авито поймал bankbot троян. Др веб — видит, удалить не может. Полагаю авито и надо сносить. Но сразу все окна и настройки сворачиваются, к нему не подойти… Не хотелось бы обнулять весь тел до заводских настроек… Это мне пришла ссылка, что мой товар оплачен на авито по безопасной сделке, а меня нет приложения Авито, через браузер размещала. Так меня и развели…

  6. Ифф

    всё оказалось гораздо проще:зашёл в безопасном режиме и удалил!

    Ответить