Banker.GT roba las credenciales de inicio de sesión de aplicaciones bancarias, también sabotea las aplicaciones antivirus móviles y les impide el lanzamiento.
Por el momento, este troyano bancario Android está activo sólo en Alemania y se dirige a las aplicaciones móviles de 15 bancos alemanes. Descubierto por los analistas de malware de Fortinet y rastreado como
La única característica que permite destacar es su capacidad para detectar la presencia de las aplicaciones locales de seguridad móvil y bloquearlo para que no arranque.
La lista de software de seguridad de Android incluye las siguientes aplicaciones
avg.antivirus, com.anhlt.antiviruspro, com.antivirus, com.antivirus.tabletcom.nqmobile.antivirus20, com.bitdefender.antivirus, com.cleanmaster.boost, com.cleanmaster.mguard, com.cleanmaster.mguard_x8, com.cleanmaster.sdk, com.cleanmaster.security, com.dianxinos.optimizer.duplay, com.drweb, com.duapps.antivirus, com.eset.ems.gp, com.eset.ems2.gp, com.kms.free, com.netqin.antivirus, com.nqmobile.antivirus20.clarobr, com.piriform. CCleaner, com.qihoo.security, com.qihoo.security.lite, com.referplish.VirusRemovalForAndroid, com.sonyericsson.mtp.extension.factoryreset, com.symantec.mobilesecurity, com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster, com.trustlook.antivirus, com.womboidsystems. antivirus.security.android, com.zrgiu.antivirus, droiddudes.best.anitvirus, oem.antivirus
Cuando los usuarios instalen la aplicación contaminada con el troyano Banker.GT, el usuario debe dar derechos de administrador.
Trojan viene disfrazado como cliente de correo electrónico móvil: Dado que los ladrones detrás de este malware se disfrazan como un cliente de correo electrónico, los usuarios podrían sentirse inclinados a darle más permisos de lo que serían normalmente cómodo dando otra aplicación.
La aplicación tiene un nombre genérico y el icono, se muestra a continuación, y una vez que se las arregla para obtener derechos de administrador, eliminará su icono y continuará trabajando en segundo plano.
Después de la infección, al igual que la mayoría de los móviles y de escritorio de malware en estos días, Banker.GT recopilará datos sobre el dispositivo se infecta, tales como el dispositivo de IMEI, modelo, número de teléfono, o la versión de compilación de Android, y ponerse en contacto con un servidor en línea y registrarse como una infección activa.
De aquí en adelante, el servidor C & C enviará órdenes a los robots. Fortinet investigadores fueron capaces de descubrir que los servidores C & C son capaces de enviar el siguiente conjunto de comandos:
- alquilar &&&: empezar a interceptar todos los mensajes SMS entrantes
- sms_stop &&&: dejar de interceptar mensajes SMS entrantes
- enviado &&&: enviar un mensaje de texto
- USSD &&&: enviar una solicitud de USSD
- entrega &&&: enviar mensajes SMS a todos los números de la lista de contactos
- api_ servidor : cambiar la dirección de la mando y servidor C2
- Appmass: enviar mensajes de texto masivos
- windowStop: agregar una aplicación especificada a la lista de exclusión, de modo que cuando se puso en marcha la aplicación, no se muestra la pantalla de phishing
- windowStart: eliminar una aplicación especificada en la lista de exclusión
- windowsnew: descarga una lista de aplicaciones dirigidas actualizada desde un servidor C2
- updateInfo: enviar la información recogida desde el dispositivo al servidor C2
- freedialog: muestre un diálogo basado en con plantilla usando Webview
- freedialogdisable: cancelar la pantalla del cuadro de diálogo Webview
- adminPhone: cambiar el número de teléfono utilizado para enviar los mensajes SMS
- killStart: establecer una contraseña para bloqueo de pantalla
- killStop: borrar la contraseña de bloqueo de pantalla
- notificación: muestra una notificación con los parámetros recibidos.
Banker.GT es un troyano bancario, la mayor parte de su funcionalidad se centra alrededor de ver la lista de procesos de aplicaciones activas, y detectar cuando el usuario inicia una aplicación de banca móvil.
Cuando esto sucede, el troyano muestra una ventana superpuesta en la parte superior de la pantalla normal del usuario, que muestra una página falsa de inicio de sesión. Después de que el usuario introduce sus credenciales, el malware envía a su servidor de C & C para su almacenamiento.
