• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Новая версия Android-трояна Tordow

IJETIXxxI

Участник
Сообщения
14
Реакции
7
0 руб.
Статья взята из журнала "ХАКЕР"

Банкер Tordow был детально опасен в сентябре 2016 года специалистами «Лаборатории Касперского». Впервые Banker.AndroidOS.Tordow.a (далее Tordow) обнаружили в феврале 2016 года. От большинства других мобильных банкеров он отличается тем, что стремится получить root-привилегии в системе, хотя деньги можно похитить и без этого.

Root-права предоставляют малвари новые векторы атак и уникальные возможности. Например, Tordow устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым. А при помощи прав суперпользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такие БД содержат информацию о сохраненных логинах и паролях, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт.


Теперь, спустя несколько месяцев, специалисты компании Comodo обнаружили новую версию малвери, которую называют Tordow v2.0. Вредонос сохранил все возможности, которыми обладал ранее, но также добавил в свой арсенал несколько новых трюков. Теперь Tordow проверяет наличие root-прав девятью разными способами, способен похищать учетные данные, может манипулировать банковской информацией и посещаемыми веб-страницами, а также способен действовать как классический вымогатель: шифровать файлы и удалять с устройства антивирусное ПО.

Понять, что Tordow теперь работает и как шифровальщик, специалисты смогли по функциям класса CryptoUtil. Троян способен шифровать файлы с использованием алгоритма AES, но аналитики отмечают, что пока в коде вредоноса содержится жестко закодированный ключ «MIIxxxxCgAwIB», который и используется в процессе.

Tordow v2.0 распространяется в основном через сторонние сайты, маскируясь под популярные приложения, такие как «ВКонтакте» , Pokemon Go, Telegram и Subway Surfer. При этом вредоносные приложения, как правило, действительно обладают функциональностью своих легитимных прообразов.

Специалисты Comodo пишут, что больше всего от банковского трояна страдают российские пользователи, однако операторы малвари не ограничиваются одной только Россией, и Tordow v2.0 представляет опасность для пользователей по всему миру.
 
Сверху Снизу