Вирус BankBot для Android и как его удалить
Вирус BankBot для Android, последствия, как с ним бороться и как в будущем предотвратить атаки
BankBot - вирус-вымогатель, который постарается сделать все, чтобы очистить Ваши карты.
Распространяется в основном пользователям сервиса Авито, разместившим объявление о продаже товара. Пользователю сервиса поступает SMS-сообщение с ссылкой и неким сопроводительным текстом, например, если Вы продаете детский комбинезон, то сообщения могут быть следующего содержания: «Ольга, вам зачислена предоплата 400 руб. за комбинезон, чек по ссылке» или «я перевела вам 400р за комбинезон, примите по ссылке». Т.е. в сообщении может быть обращение по имени, может быть указан товар и другие фразы, которые заставят Вас задуматься и остановиться на сообщении. Ссылки могут содержать название одноименного сервиса, чтобы ввести в заблуждение жерву, например avito-fin.ru/…, avito-prt.ru. и т.д., а могут быть и shcet217.ru/… и другие.
Дальше, при переходе по ссылке Вы увидите привычный дизайн сайта avito.ru (клон), где предлагается скачать и установить некую программу (может иметь разные названия Avito-Pay, Avito (на английском)) со значком Авито, чтобы не возникало подозрений, с подробной инструкцией по установке приложения и порядком действий по отключению защиты, в случае, если смартфон начнет сопротивляться установке приложения из неизвестных источников.
Скачав и установив приложение, вирус начинает блокировать работу некоторых приложений на смартфоне, например, WhatsApp, делая невозможным их запуск, т.к. на экране будет появляться сообщение, которое будет добиваться от Вас того, чтобы Вы предоставили доступ администратора заблокированной любимой программе, но на самом деле доступ Вы предоставите вирусу!
После этого, вирус получает полный контроль над смартфоном, Вы не сможете:
- удалить его через список приложений, т.к. вирус заблокирует это действие;
- удалить его антивирусом, т.к. вирус будет пресекать эти действия;
- исключить из администраторов устройств в настройках.
Но зато он сможет:
- отправлять злоумышленнику любые данные, включая контакты, sms/push сообщения, пароли, фотографии и др.;
- отслеживать все, что Вы вводите;
- блокировать работу любого приложения;
- подменять приложения;
- контролировать работу интернет-банка некоторых Российских банков;
Затем вирус блокирует экран смартфона сообщением с требованием обновить данные платежной карты Google Play или указать карты для зачисления некого платежа. Работа со смартфоном становится невозможной, т.к. сообщение размещено поверх всех других окон.
Развязка: после ввода номера карты с Вашей карты начнут тихо исчезать кровно заработанные средства, причем все SMS и PUSH сообщения программа перехватит и перешлет злоумышленнику, а Вы ничего не увидите.
Что нужно сделать в первую очередь, когда заподозрите, что на смартфоне вирус (быстрый разряд аккумулятора, может проскочить сообщение о списании денежных средств, невозможность просмотреть смс-сообщения, другие блокировки и "ненормальное поведение" смартфона):
- Позвоните в банк - заблокируйте платежную карту (номер телефона указан на карте);
- Вытащите сим-карту, отключите интернет (wifi);
- Смените пароль Вашей электронной почты. Это необходимо делать на другом смартфоне/планшете/компьютере. Зная пароль к почте можно сбросить пароль на всех сайтах и сервисах на которых Вы указывали свой почтовый адрес;
- Идите в банк и пишите заявление на мошеннические действия с картой. Если денежные средства получателя не были переведены дальше (на другую карту или другой кошелек), то есть шанс отменить транзакции до расчетов банков между собой. Тут все зависит от скорости работы банка, если есть возможность узнать, кто является банком-эквайером (банк обслуживающий торговую/интернет точку в которой расплатились Вашей картой), то звоните срочно в этот банк и сообщите, что транзакция по Вашей карте несанкционирована. Не забудьте получить выписку по счету с несанкционированными операциями, она Вам пригодится в полиции.
Во вторую очередь:
- Подключите телефон к компьютеру и если это возможно, то скопируйте важные данные (фотографии/видео)
- Избавьтесь от вируса, здесь поподробнее:
1. Перезагрузите телефон и войдите в безопасный режим (Safe mode):
безопасный режим появился в версии Android 4.1., в этом режиме работают только программы установленные производителем. Перезагрузить обычным действием у Вас скорее всего не получится, т.к. вирус блокирует действие кнопки питания, поэтому попробуйте зажать кнопку питания и клавишу уменьшения громкости и подержать несколько секунд. Если не получается, то поищите в интернете как принудительно перезагрузить смартфон конкретно для Вашей модели. необходимо в интернете найти. При загрузке смартфона, в момент когда появляется логотип производителя, нажмите и удерживайте клавишу уменьшения громкости до окончания загрузки. Если телефон вошел в безопасный режим, то в левом нижнем углу будет надпись «Безопасный режим» или «Safe mode»
2. Заберите доступ администратора у вируса:
В зависимости от версии Android и модели смартфона путь к настройкам отключения доступа администратора отличается. Ищите настройку с названием «Администраторы устройств» в разделе связанным с безопасностью. Например возможны следующие пути:
- Настройки -> Защита и заблокированный экран -> Приложения администратора устройства
- Настройки -> Биометрические данные и безопасность -> Экран блокировки и защита -> Другие параметры безопасности -> Администраторы устройств
- Настройки -> Безопасность -> Администраторы устройств
- Настройки -> Дополнительно -> Конфиденциальность -> Администраторы устройств
Затем отключите административный доступ у вируса, вирусное приложение может называться по-разному, может «Avito», может «Avito Pay», «Неизвестное приложение» и т.д. Если не знаете, то отключайте все приложения, потом включите при необходимости.
3. Удалите вирус из списка приложений: Настройки -> Приложения - находите вирус и«Удалить». Если не знаете как называется приложение с вирусом то удаляйте постепенно все приложения, даже если считаете, что это приложение не вирус, т.к. вирусное приложение может иметь любое наименование приложения.
4. Перезагрузите смартфон для выхода из безопасного режима. Если после загрузки смартфона все побочные эффекты вируса (кнопка питания/выход в настройки) исчезли, то переходите к следующему пункту, иначе повторите выше и если все равно ничего не помогает, то необходимо сделать сброс телефона, но при этом, скорее всего буду потеряны все пользовательские данные и установленные приложения. В зависимости от модели смартфона комбинация для сброса может отличаться, но обычно необходимо при включении зажать клавишу громкости вниз, появится меню Recovery, после чего выполнить пункт wipe data. Но еще раз повторю, что возможно будут потеряны все данные, поэтому предварительно постарайтесь перенести на компьютер все необходимые данные.
5. Зайдите в Google Play и загрузите антивирусное приложение, например Dr.Web Light или Kaspersky Internet Security. Запустите антивирус и удалите все, что он найдет.
В третью очередь:
- Напишите заявление в полицию на мошеннические действия;
- Смените пароли от всех установленных интернет-банков и других сервисов и сайтов;
На заметку:
- Не переходите по ссылкам из SMS. Давно никто не присылает ссылки в SMS, а если и присылают, то это должно быть ожидаемо и загружать дополнительно ничего не требуют.
- Всегда смотрите на каком сайте Вы находитесь, имя сайта не должно отличаться ни на один символ от оригинала. И обязательно сайт должен быть защищен сертификатом (в браузере отображается зеленый замочек рядом с адресом);
- Не запускайте никакие программы на смартфоне загруженные из интернет через браузер, речь идет о файлах с расширением *.APK. Только приложения через Google Play, и то обращайте внимание на рейтинг, на количество загрузок и читайте отзывы к загружаемому приложению. Чем больше загрузивших, тем меньше вероятность, что в приложении находится вирус;
- Поставьте антивирусное ПО, пусть оно дополнительно контролирует все, что вы загружаете;
- Не вводите номер карты и особенно CVV/CVC-код, если вдруг неожиданно, Вас попросили ввести данные карты, чтобы что-то подтвердить.
- Сделайте виртуальную платежную карту и используйте эту карту для расчетов в интернет. Некоторые банки предоставляют эту возможность бесплатно.
- Изменяйте расходный лимит на карте по мере необходимости, увеличивайте лимит при операциях на крупные суммы и затем возвращайте на лимит на тот уровень, который Вы готовы потерять.
- И для избранных - заведите второй телефон и настройте sms-уведомления о платежах и кодах подтверждения на этот телефон. И естественно эти коды никому сообщать нельзя! Этот код - аналог Вашей подписи. Неудобно, зато безопасно.
В заключение:
В основном, мошенники используют методы социальной инженерии, втираясь в доверие к жертве, обращаясь по имени или называя еще какие-либо данные, которые Вы считали личными или конфиденциальными. Будьте бдительны!
Если что-то делаете в интернет и возникает хоть малейшее подозрение, что Вы делаете что-то не то, что так круто, такого не может быть, или если в процессе разговора с незнакомцем по телефону чувствуете, что Вас психологически держат и не дают повесить трубку (угрожают или обещают золотые горы) - сделайте паузу, скажите тому «до свидания», позвоните близкому человеку и посоветуйтесь, все ли правильно вы делаете.