Android.BankBot.34.origin ist faktisch in der Lage, auf einem infizierten Endgerät zwei Angriffsszenarien durchzuführen. Das erste Szenario ist direkt vom Benutzerverhalten abhängig und wird eingesetzt, wenn der Benutzer versucht die für Übeltäter relevante Anwendung zu starten. Nachdem der Endgerätebesitzer eine solche Applikation gestartet hat, zeigt Android.BankBot.34.origin ein Phishing-Fenster mit Feldern zur Eingabe von sensiblen Daten, u.a. Benutzername und Passwort, Telefonnummer oder Kreditkartendaten. Für jede Anwendung kann der Trojaner das entsprechende Formular erfolgreich imitieren. Auf diese Weise werden folgende mobile Applikationen attackiert:
Google Play
Google Play Music
Gmail
Viber
Skype
VKontakte
Odnoklassniki
Alle eingegebenen Daten werden so an den Verwaltungsserver übertragen.
Im zweiten Szenario kann der Trojaner Android.BankBot.34.origin auf Befehl vom Verwaltungsserver folgende Aktionen durchführen:
>> Das Abfangen von ein- und ausgehenden Kurznachrichten starten/abbrechen
>> USSD-Anfrage starten
>> Telefonnummern von z.B. Mobile-Banking-Systemen, Bezahlsystemen usw. in die Blacklist aufnehmen
>> Liste der gesperrten Telefonnummern leeren
>> Daten zu installierten Anwendungen an den Server übermitteln
>> Kurznachricht versenden
>> Malware-ID an den Server übermitteln
>> Dialogfenster mit einem vorgegebenen Text, Eingabefeldern usw. oder Mitteilung laut Parametern vom Verwaltungsserver anzeigen.
Bemerkenswert ist, dass die Adresse des Verwaltungsservers von Android.BankBot.34.origin dem anonymen Tor-Netzwerk zugewiesen ist. Der Verbindungsaufbau über ein geschütztes Protokoll ist durch den Code eines offiziellen Clients gewährleistet, der durch den Trojaner für die Verbindung zu einer Pseudodomain .onion verwendet wird. Eine solche Methode sorgt dafür, dass Malware-Autoren gut geschützt sind.
Android.BankBot.34.origin kann sich unbemerkt ins mobile Endgerät des Benutzers einschleusen und Kurznachrichten abfangen oder versenden. So können die Übeltäter den Schädling als Bankentrojaner einsetzen, um durch Befehle im Mobile-Banking-System Geld von Bankkonten der Benutzer zu stehlen. Auf diese Weise können die Übeltäter auch Geld vom mobilen Konto der Benutzer stehlen. Dabei kann ein beliebiger Mobilfunkanbieter angegriffen werden. Das höchste Risiko tragen Kunden von Banken und Zahlungssystemen, denen die Verwaltung ihrer Bankkonten via SMS angeboten wird.
Der Trojaner kann verschiedene Angriffe initiieren, u.a. Diebstahl von Benutzerdaten für den Zugriff auf ein Konto in sozialen Netzwerken, Anpassung von Benutzerdaten und Anzeige der Meldung "Ihr Benutzerkonto ist gesperrt. Um Ihr Benutzerkonto zu entsperren, überweisen Sie den entsprechenden Betrag an die Nummer 1234". Die Entwickler von Android.BankBot.34.origin können dem Trojaner auch befehlen, die Login-Seite im Online-Banking-System anzuzeigen, um den Zugriff auf Konten eines Opfers zu erhalten. Der Schädling stellt deshalb für Android-Benutzer eine ernsthafte Gefahr dar.
Um die Infizierung von Endgeräten durch den Trojaner zu vermeiden, empfehlen die Sicherheitsanalysten von Doctor Web, verdächtige Anwendungen und Quellen (außer Google Play) zu ignorieren.
Die Virensignatur für Android.BankBot.34.origin wurde in die Dr.Web Virendatenbank eingetragen. Die Benutzer von Dr.Web Antivirus für Android und Dr.Web Antivirus für Android Light sind daher gegen diesen Trojaner zuverlässig geschützt.