Шкідлива програма, що заражає мобільні Android-пристрої. Може поширюватися під виглядом різноманітних додатків. Являє собою бота, здатного виконувати різні дії по команді зловмисників. Основне завдання троянця - викрадення грошових коштів з банківських рахунків російських користувачів.
При запуску Android.BankBot.33.origin намагається отримати доступ до прав адміністратора мобільного пристрою, демонструючи відповідний системний запит до тих пір, поки жертва не дасть свою згоду. Потім, в залежності від модифікації, шкідлива програма виводить на екран повідомлення про нібито сталася помилку, або відображає інтерфейс програми, під виглядом якого троянець потрапив на мобільний пристрій. Після цього бот видаляє свій ярлик на головному екрані операційної системи.
Далі троянець підключається до керуючого серверів, розташованих у за адресою http: //xxxx.xx.214.97/task.php, і завантажує на нього такі відомості про зараженому пристрої:
- IMEI-ідентифікатор;
- IMSI-ідентифікатор;
- поточний час, встановлене в системі;
- номер мобільного телефону;
- версія троянця;
- SID-ідентифікатор;
- версія ОС;
- модель пристрою;
- виробник пристрою;
- версія SDK системи;
- ідентифікатор троянця.
У відповідь бот отримує список наступних команд, які передаються йому у форматі JSON:
- 8e9ql9skqf - встановити час наступного з'єднання з командним центром;
- server - змінити адресу командного центру;
- izqfugi7n8 - занести в конфігураційний файл список номерів, повідомлення з яких будуть ховатися від користувача;
- mzybm1q2eh - занести в конфігураційний файл список номерів, повідомлення з яких будуть пересилатися на керуючий сервер;
- hgany9c0rj - прибрати з конфігураційного файлу список номерів, повідомлення з яких будуть ховатися від користувача;
- tyo2pxb1wr - прибрати з конфігураційного файлу список номерів, повідомлення c яких будуть пересилатися на керуючий сервер;
- gz7j2ph7eg - відправити СМС-повідомлення із заданим текстом на вказаний в команді номер;
- ligtd7jxxr - завантажити і спробувати встановити додаток (необхідно підтвердження користувача);
- hmq3nlddk3 - спробувати видалити заданий в команді додаток (необхідно підтвердження користувача);
- notification - вивести в область повідомлень повідомлення із заданим в команді текстом;
- 1lo8lsn7un - відкрити в браузері заданий в команді веб-адреса;
- ozs44xicjk - відправити на керуючий сервер список контактів;
- 88h4s39ead - відправити на керуючий сервер список встановлених додатків.
Троянець виконує розсилку СМС-повідомлень на сервісні номери кількох російських кредитних організацій, а також однією з популярних платіжних систем з метою отримання інформації про стан банківського рахунку користувача і належних йому банківських карт. У разі отримання необхідних відомостей Android.BankBot.33.origin за допомогою спеціальних СМС-команд переводить всі доступні грошові кошти на рахунок зловмисників.