Все о Rotexy Trojan

Мобильное вредоносное ПО Rotexy, представляющее собой гибрид блокировщика программ-вымогателей и банковского трояна, расширяет свои возможности. В августе и сентябре некоторые специалисты зафиксировали более 40 000 попыток внедрения этого вредоносного приложения в Android-смартфоны. Хотя некоторая техническая информация и другие подробности известны миру, мы подробно расскажем о заражении вместе с решением, позволяющим избавиться от него бесплатно.

Итак, приступим!

Как работает банковский троян Rotexy?

Rotexy использует SMS, включая ссылку для загрузки приложения с привлекательным текстом, который побуждает людей переходить по ссылкам и загружать приложение. Если отправленное SMS приходит с неизвестного номера, оно игнорируется, однако, когда вы получаете такое SMS с номера друга, именно тогда люди нажимают на ссылку.

После заражения устройства троянец начинает подготовку структуры к следующему шагу. Rotexy сначала определяет, какое устройство было заражено, чтобы это могло помешать работе антивирусных исследователей. Если вредоносное ПО определяет, что оно работает в эмуляторе, оно многократно повторяет процесс инициализации приложения.

Прежде чем троянец начнет работать, он проверяет, соответствует ли устройство базовым требованиям. После этого он запрашивает права администратора. Возможно, пользователь не даст разрешения, однако всплывающие окна будут появляться неоднократно, и пользователь не сможет использовать устройство. Как только разрешение будет предоставлено, Rotexy сообщит, что приложение не загружено, и скроет значок.

На следующем этапе вредоносное ПО связывается со своими владельцами и предоставляет им информацию о смартфоне. Взамен он получает инструкции вместе с набором текстов и шаблонов. Rotexy подключается к C&C-серверу, однако хакеры придумали другие способы отправки инструкций, например, с помощью SMS или Google Cloud Messaging.

Rotexy вор SMS

При получении сообщения на зараженный смартфон. Вредоносное ПО включает беззвучный режим на устройстве, чтобы жертва не могла прослушать мелодию входящего смс-уведомления. После получения сообщения он перехватывает SMS и сравнивает его с шаблонами, полученными от C&C-сервера. Если найдется что-нибудь интересное, например, последние цифры номера карты из банковского уведомления, то сохранит это и отправит на сервер. Кроме того, вредоносное ПО может перехватывать такие сообщения и отвечать на них: шаблоны, рассылаемые владельцами вредоносных программ, имеют тексты подтверждения на тот случай, когда они потребуются.

В случае отсутствия шаблона или полученного заказа, Rotexy сохраняет все сообщения на устройстве жертвы и отправляет их начальству. Также, если злоумышленники захотят, вредоносное ПО может переслать ссылку для скачивания всем контактам в телефонной книге.

Читайте также: Инсайдерская информация о троянском коне

Rotexy — банковский троянец

В первую очередь вредонос крадет данные банковских карт, чтобы обеспечить максимальную прибыль своим владельцам. Для этого он накладывает на экран фишинговую веб-страницу с текстом, полученным с помощью смс-вставки заказов. Интерфейс и внешний вид страницы каждый раз может быть разным, но основная цель — проинформировать владельца смартфона о том, что его ожидает денежный перевод и для его получения необходимо указать реквизиты карты.

Также, чтобы это выглядело подлинным, у разработчиков вредоносного ПО есть проверка на способ подтверждения номера карты. Он подтверждает, что пользователь вводит правильный номер карты. После этого Rotexy извлекает последние четыре цифры номера карты из сохраненного банковского SMS-сообщения и сравнивает их с теми, которые пользователь ввел на фишинговой странице.

Если он не совпал, то вредоносное ПО показывает ошибку и просит пользователя ввести правильные данные карты.

Rotexy: программы-вымогатели

Может быть и другой способ поведения Rotexy. Ну, это зависит от инструкции, которую он получает от C&C-сервера. Вместо того, чтобы показывать фишинговую страницу, он может заблокировать экран вашего смартфона окном с угрозами, в котором пользователю предлагается заплатить штраф за «регулярный просмотр запрещенных видео».

Он также показывает фотографическое «доказательство», которое является порнографическим клипом. Киберпреступники действуют как официальная организация, которую в основном использует Rotexy, «ФСБ-Контроль Интернета».

Как избавиться от Rotexy Trojan?

Прочитав все вышеперечисленное, что может сделать Rotexy, вы, должно быть, подумали, как бы мы могли избавиться от него. Надеюсь, вы можете! Вы можете разблокировать зараженный смартфон. Как уже упоминалось, Rotexy получает заказы через SMS. Таким образом, SMS не обязательно должно приходить с какого-то определенного номера, его можно отправить с любого номера телефона или устройства.

Итак, если ваш телефон заблокирован, то вам достаточно чей-то телефон и отправить инструкцию. Вам необходимо отправить SMS на свой номер с текстом «393838».

Это SMS означает, что это приказ вредоносной программе сменить адрес командного сервера на пустой, а также перестать подчиняться киберпреступникам.

Затем снова отправьте на свой номер текст, содержащий «3458» — это предотвратит доступ троянца к вашему устройству с правами администратора, и, следовательно, троян больше не будет удерживать ваше устройство.

Третьим SMS будет текст «stop_blocker»: эта инструкция подтолкнет Rotexy к удалению сайта или баннера, блокирующего экран.

После выполнения этих инструкций, если троян снова начнет действовать и запрашивает права администратора вашего устройства, то перезагрузите смартфон в безопасном режиме. После перезагрузки устройства перейдите в «Приложения и уведомления» или «Диспетчер приложений» и удалите вредоносное ПО с устройства.

Примечание. Этот метод работает в текущей версии Rotexy, однако он может не работать в будущих версиях.

Рекомендуем прочитать: TeleRAT: новый троянский конь, который крадет ваши данные

Инструкции по предотвращению заражения вашего устройства Rotexy и другими троянскими программами:

Вышеупомянутый процесс довольно громоздкий и может быть рискованным. Что ж, если вы будете бдительны и позаботитесь о нескольких вещах, вам, возможно, не придется с этим сталкиваться.

Никогда не переходите по подозрительным ссылкам, даже если обещают дать 1 миллион долларов.

Скачивайте приложения только из Google Play.

Всегда устанавливайте надежный мобильный антивирус на свой телефон, чтобы он всегда был защищен.

Таким образом, независимо от того, на какой версии Android вы работаете или какое программное обеспечение у вас установлено, клик по подозрительной ссылке и ваше устройство, ваши банковские реквизиты, все будет украдено. Будьте осторожны и всегда будьте начеку!