23/11/2018

Trojan Rotexy: banker i bloker

Zagrożenia

Niedawno na horyzoncie pojawił się mobilny szkodliwy program o nazwie Rotexy, będący skrzyżowaniem trojana bankowego i blokera ransomware. W sierpniu i wrześniu nasi eksperci zarejestrowali ponad 40 tys. prób umieszczenia tej szkodliwej aplikacji na smartfonach z platformą Android. Informacje techniczne oraz biografię tego zagrożenia opisaliśmy w serwisie Securelist, a na blogu omówimy źródła infekcji oraz podpowiemy, jak można usunąć go za darmo — przy użyciu kilku zwykłych SMS-ów.

Jak działa trojan bankowy Rotexy

Rotexy rozprzestrzenia się poprzez SMS-y, w których odbiorca jest nakłaniany do kliknięcia łącza, aby pobrać jakąś aplikację. W niektórych przypadkach wiadomości są wysyłane z numeru telefonu znajomego — w ten sposób prawdopodobieństwo, że ktoś zastosuje się do instrukcji, wzrasta.

Po zainfekowaniu urządzenia trojan przygotowuje się do dalszych działań. Najpierw sprawdza, na jakim urządzeniu się znajduje, aby utrudnić pracę badaczom. Jeśli wykryje, że działa na emulatorze, a nie na prawdziwym smartfonie, zapętla proces uruchamiania aplikacji. Tak samo dzieje się również w najnowszej wersji Rotexy, jeśli urządzenie nie znajduje się na terenie Rosji.

Jeśli urządzenie spełnia te podstawowe wymagania, trojan przystępuje do działania. Najpierw żąda od użytkownika przyznania mu uprawnień administratora. Teoretycznie właściciel smartfona może mu odmówić, jednak wówczas komunikat będzie pojawiał się co chwilę, utrudniając korzystanie ze smartfona. Po uzyskaniu uprawnień Rotexy informuje, że aplikacji nie można uruchomić, i ukrywa swoją ikonę.

Następnie szkodliwy program przesyła swoim właścicielom informacje na temat urządzenia. W odpowiedzi otrzymuje instrukcje oraz zestaw szablonów i tekstów. Domyślnie Rotexy komunikuje się bezpośrednio z serwerem poleceń, jednak jego autorzy zaimplementowali również inne sposoby wysyłania poleceń: za pośrednictwem usługi Google Cloud Messaging i SMS-ów.

Rotexy jako złodziej SMS-ów

Trojan Rotexy jest bardzo zachłanny w kwestii SMS-ów. Gdy na zainfekowany telefon dociera SMS, szkodliwy program przełącza urządzenie w tryb cichy, tak aby ofiara tego nie dostrzegła. Trojan przechwytuje wiadomość, sprawdza ją pod kątem szablonów otrzymanych z serwera kontroli, i jeśli zawiera ona coś wartościowego (np. ostatnie cyfry numeru karty w powiadomieniu SMS z banku), wysyła informację na serwer. Co ciekawe, szkodliwy program może odpowiadać na takie wiadomości w imieniu właściciela smartfona: teksty zwrotne również znajdują się w szablonach wraz z instrukcjami, kiedy mają zostać użyte.

Jeśli z jakiegoś powodu z serwera kontroli nie dotarły żadne szablony czy specjalne instrukcje, Rotexy zapisuje całą korespondencję z zainfekowanego smartfona, a następnie przesyła ją do swoich autorów.

Ponadto na polecenie cyberprzestępców szkodliwy program może wysłać łącze umożliwiające jego pobranie do wszystkich kontaktów znajdującej się w książce telefonu — jest to jeden z głównych wektorów rozprzestrzeniania się trojana Rotexy.

Rotexy jako trojan bankowy

Manipulacja przy użyciu SMS to nie jedyny i nie najważniejszy trik tego szkodliwego programu. Jego celem jest zarabianie pieniędzy na rzecz twórców, głównie poprzez kradzież danych karty bankowej. W tym celu wyświetla on na wierzchu ekranu stronę phishingową zawierającą tekst otrzymany wraz z instrukcjami przechwycenia SMS-ów. Wygląd strony może się różnić w zależności od urządzenia, jednak zawsze właściciel smartfona dowiaduje się z niej, że czeka na niego przelew przychodzący, a aby go otrzymać, musi wprowadzić informacje szczegółowe związane z kartą.

Aby jeszcze raz się upewnić, autorzy tego szkodliwego programu wbudowali kontrolę sprawdzającą numer karty. Najpierw weryfikuje ona, czy numer karty jest prawidłowy (cyfry w numerze karty nie są losowe, jednaj są tworzone wg określonych reguł). Następnie z przechwyconego SMS-a wysłanego przez bank Rotexy identyfikuje cztery ostatnie cyfry numeru karty i porównuje je z tymi, które zostały wprowadzone na stronie phishingowej. W przypadku rozbieżności program wyświetla błąd i nakłania użytkownika do wprowadzenia poprawnego numeru karty.

Rotexy jako ransomware

Czasami Rotexy otrzymuje inne instrukcje z serwera kontroli i działa wg innego scenariusza. Zamiast wyświetlać stronę phishingową, blokuje ekran smartfona i wyświetla na nim żądanie zapłaty kary za „regularne oglądanie zakazanych filmów”.

Rotexy udaje instalację aktualizacji, a następnie blokuje ekran smartfona z żądaniem zapłaty kary za „regularne oglądanie zakazanych filmów”.

„Dowód” fotograficzny jest dołączony w postaci kadru z filmu pornograficznego. Jak to często bywa w przypadku mobilnych programów ransomware, cyberprzestępcy podszywają się pod oficjalne organy — Rotexy podaje się za służbę odpowiedzialną za kontrolę internetu, „FSB Internet Control” (nawiasem mówiąc, w Rosji nie istnieje taka jednostka).

Jak odblokować smartfona zainfekowanego trojanem Rotexy

Na szczęście zainfekowanego smartfona można odblokować i uwolnić się od szkodnika bez konieczności uzyskiwania specjalistycznej pomocy. Jak wspomniałem wyżej, Rotexy może otrzymywać polecenia poprzez SMS. Dobra wiadomość: nie muszą one być wysłane z konkretnego numeru! Oznacza to, że jeśli Twój smartfon został zablokowany i nie możesz zamknąć uciążliwego okna, wystarczy zorganizować drugi telefon i skorzystać z naszej krótkiej instrukcji:

  • Wyślij na swój numer telefonu SMS zawierający ciąg cyfr „393838”. Szkodliwy program odczyta go jako polecenie zmiany adresu serwera kontroli na pusty, dzięki czemu przestanie reagować na instrukcje wysyłane przez cyberprzestępców.
  • Następnie wyślij na swój numer telefonu SMS zawierający ciąg cyfr „3458”— w ten sposób pozbawisz trojana praw administratora i odzyskasz kontrolę nad swoim urządzeniem.
  • Wyślij na swój numer telefonu SMS zawierający tekst „stop_blocker”: polecenie to zmusi Rotexy do usunięcia strony phishingowej lub banneru blokującego ekran.
  • Jeśli trojan znów zacznie wyświetlać żądanie nadania mu uprawnień administratora, uruchom urządzenie ponownie w trybie bezpiecznym (zobacz, jak to zrobić), przejdź do ekranu Menedżer aplikacji lub Aplikacje i powiadomienia (w Androidzie opcja ta może się różnić w zależności od wersji systemu) i usuń szkodliwy program z urządzenia. Gotowe!

Pamiętaj, że powyższe instrukcje odblokowania smartfonu zostały przygotowane na podstawie analizy aktualnej wersji zagrożenia Rotexy i mogą nie być skuteczne w jego kolejnych wariantach. Więcej informacji szczegółowych na temat opisywanego trojana znajduje się w raporcie opublikowanym w serwisie Securelist.

Jak zapewnić sobie bezpieczeństwo przed Rotexy i innymi trojanami mobilnymi

Najpierw warto przypomnieć, że zmarnujesz mniej czasu i nerwów, jeśli nie pozwolisz szkodliwemu programowi na przedostanie się na Twoje urządzenie. Unikanie infekcji nie jest trudne, a najważniejsze zasady można zamknąć w kilku punktach: