Wszystko o trojanie Rotexy

Mobile Malware Rotexy, hybryda blokera oprogramowania ransomware i trojana bankowego, rozwija swoje kończyny. W sierpniu i wrześniu niektórzy specjaliści zarejestrowali ponad 40 000 prób osadzania tej złośliwej aplikacji na smartfonach z systemem Android. Chociaż niektóre informacje techniczne i inne szczegóły są znane światu, omówimy szczegółowo infekcję wraz z rozwiązaniem, aby pozbyć się jej za darmo.

Więc zacznijmy!

Jak działa trojan bankowy Rotexy?

Rotexy używa SMS-ów, w tym linku do pobrania aplikacji z atrakcyjnym tekstem, który zachęca ludzi do kliknięcia linków i pobrania aplikacji. Jeśli wysłany SMS pochodzi z nieznanego numeru, zostanie zignorowany, jednak gdy otrzymasz taki SMS z numeru znajomego, wtedy ludzie klikną w link.

Gdy urządzenie zostanie zainfekowane, trojan zaczyna przygotowywać strukturę do następnego kroku. Rotexy najpierw identyfikuje, jakie urządzenie zostało zainfekowane, aby mogło utrudnić pracę badaczom oprogramowania antywirusowego. Jeśli złośliwe oprogramowanie wykryje, że działa w emulatorze, to cyklicznie przechodzi przez proces inicjalizacji aplikacji.

Zanim trojan zacznie działać, sprawdza, czy urządzenie spełnia podstawowe wymagania. Po zakończeniu prosi o uprawnienia administratora. Prawdopodobnie użytkownik nie udzieli pozwolenia, jednak wyskakujące okienka będą pojawiać się wielokrotnie i użytkownik nie będzie mógł korzystać z urządzenia. Po przyznaniu pozwolenia Rotexy powiadomi, że aplikacja nie została załadowana i ukryje ikonę.

W kolejnym kroku szkodliwe oprogramowanie kontaktuje się ze swoimi właścicielami i przekazuje im informacje o smartfonie. W zamian otrzymuje instrukcje wraz ze zbiorem tekstów i szablonów. Rotexy dociera do serwera C&C, jednak hakerzy wymyślili inne sposoby wysyłania instrukcji, np. przez SMS lub Google Cloud Messaging.

Rotexy Złodziej SMS

Za każdym razem, gdy na zainfekowanym smartfonie zostanie odebrana wiadomość. Złośliwe oprogramowanie włącza tryb cichy na urządzeniu, aby ofiara nie mogła słuchać dzwonka przychodzącego powiadomienia SMS. Po otrzymaniu wiadomości przechwytuje wiadomość SMS i porównuje ją z szablonami otrzymanymi z serwera C&C. Jeśli znajdzie coś ciekawego, np. ostatnie cyfry numeru karty z powiadomienia bankowego, to przechowuje je i wysyła na serwer. Ponadto złośliwe oprogramowanie może przechwytywać i odpowiadać na takie wiadomości: szablony wysyłane przez właścicieli złośliwego oprogramowania zawierają teksty potwierdzeń, gdy są potrzebne.

W przypadku braku otrzymanego szablonu lub zamówienia, Rotexy zapisuje całą komunikację na urządzeniu ofiary i przesyła ją do szefów. Ponadto, jeśli cyberprzestępcy tego chcą, szkodliwe oprogramowanie może przekazać łącze do pobrania do wszystkich kontaktów w książce telefonicznej.

Przeczytaj także: Informacje poufne na temat konia trojańskiego

Rotexy – trojan bankowy

Przede wszystkim złośliwe oprogramowanie kradnie dane kart bankowych, aby zapewnić swoim właścicielom maksymalne zyski. W tym celu nakłada na ekran stronę phishingową z tekstem otrzymanym wraz z wstawiającymi zamówienia SMS-ami. Interfejs i wygląd strony może być za każdym razem inny, ale głównym celem jest poinformowanie właściciela smartfona, że ​​czeka na niego przelew i aby go otrzymać, musi podać dane karty.

Ponadto, aby wyglądała autentycznie, twórcy złośliwego oprogramowania sprawdzają sposób weryfikacji numeru karty. Sprawdza, czy użytkownik wybija prawidłowy numer karty. Następnie Rotexy pobiera ostatnie cztery cyfry numeru karty z bankowych wiadomości SMS, które przechowuje i porównuje je z tymi, które użytkownik wprowadził na stronie phishingowej.

W przypadku, gdy nie pasuje, złośliwe oprogramowanie wyświetla błąd i prosi użytkownika o wprowadzenie poprawnych danych karty.

Rotexy: oprogramowanie ransomware

Może istnieć inny sposób zachowania Rotexy. Cóż, to zależy od instrukcji, którą otrzymuje z serwera C&C. Zamiast pokazywać stronę phishingową, może zablokować ekran smartfona z oknem z groźbami, prosząc użytkownika o zapłacenie kary za „regularne oglądanie zabronionych filmów”.

Pokazuje również fotograficzny „dowód”, który jest klipem pornograficznym. Cyberprzestępcy działają jako oficjalna organizacja, Rotexy używa głównie „Kontroli Internetu FSB”.

Jak pozbyć się trojana Rotexy?

Po przeczytaniu wszystkich powyższych informacji, które Rotexy może zrobić, musisz pomyśleć, jak możemy się go pozbyć. Mam nadzieję, że możesz! Możesz odblokować zainfekowany smartfon. Jak wspomniano, Rotexy otrzymuje zamówienia przez SMS. Tak więc SMS nie musi pochodzić z żadnego konkretnego numeru, dowolny numer telefonu lub urządzenie może go wysłać.

Jeśli więc Twój telefon jest zablokowany, potrzebujesz tylko czyjegoś telefonu i wyślij instrukcję. Musisz wysłać SMS na swój numer o treści „393838”.

Ten SMS oznacza, że ​​szkodliwe oprogramowanie zmieniło adres serwera C&C na pusty, a także przestanie być posłuszne cyberprzestępcom.

Następnie wyślij wiadomość zawierającą „3458” na swój numer — to powstrzyma trojana przed dostępem do Twojego urządzenia przy użyciu praw administratora, a zatem trojan nie będzie już dłużej blokował Twojego urządzenia.

Trzecią wiadomością SMS będzie tekst „stop_blocker”: ta instrukcja zmusi Rotexy do usunięcia witryny lub banera blokującego ekran.

Po wykonaniu tych instrukcji, jeśli trojan zacznie ponownie działać i poprosi o uprawnienia administratora urządzenia, uruchom ponownie smartfon w trybie awaryjnym. Po ponownym uruchomieniu urządzenia przejdź do aplikacji i powiadomień lub menedżera aplikacji i usuń złośliwe oprogramowanie z urządzenia.

Uwaga: ta metoda działa w bieżącej wersji Rotexy, jednak może nie działać w przyszłych wersjach.

Koniecznie przeczytaj : TeleRAT: nowy koń trojański, który kradnie Twoje dane

Instrukcje, aby zapobiec zainfekowaniu urządzenia przez Rotexy i inne trojany:

Powyższy proces jest dość uciążliwy i może być również ryzykowny. Cóż, jeśli zachowasz czujność i zajmiesz się kilkoma rzeczami, możesz nie stawić temu czoła.

Nigdy nie klikaj podejrzanych linków, nawet jeśli obiecuje dać milion dolarów.

Pobieraj aplikacje tylko z Google Play.

Zawsze instaluj godny zaufania antywirus mobilny na swoim telefonie, aby zawsze był chroniony.

Tak więc, bez względu na to, nad jaką wersją Androida pracujesz lub jakie oprogramowanie masz zainstalowane, kliknięcie podejrzanego linku i Twojego urządzenia, Twoich danych bankowych, wszystko zostanie skradzione. Uważaj i zawsze bądź czujny!