Обнаружен новый вредоносный банковский троян, направленный на пользователей мобильных телефонов под управлением ОС Android
Об этом сообщили “ДС” в пресс-службе Департамента киберполиции.
Новый вирус отличается от большинства мобильных банковских вирусов тем, что использует root-привилегии, хотя деньги можно украсть множеством способов, которые не требуют повышенных прав, и обычно авторы банковского вредоносного обеспечения к ним не стремятся.
Этот троян направил на жителей Украины, Белоруссии и других стран СНГ. Вирус быстро распространяется и сейчас инфицировано 500 тысяч устройств. По словам специалистов, с каждым днем их количество увеличивается примерно на 30-40 тысяч.
Троян распространяется, маскируясь под различные популярные приложения, например, “ВКонтакте”, “ДругВокруг”, “Одноклассники”, Pokemon GO, Telegram, или Subway Surf.
Речь идет о копии, которые распространяются через неофициальные каталоги. Вирус внедрен в легитимное приложение, код расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его. Затем исполняемый файл скачивает с управляющего сервера основную часть вредоносного кода, который содержит ссылку на скачивание еще нескольких файлов.
В функциональность вредоносного программы входят: отправление, кража, удаление SMS; запись, переправки, блокировка звонков; проверка баланса; кража контактов; осуществление звонков; смена руководителя сервера; загрузка и запуск файлов; установка и удаление программ; блокировка устройства с показом веб-страницы, заданной сервером злоумышленников; составление и передача злоумышленникам списка, содержащегося на устройстве файлов; отправка, переименование любых файлов; перезагрузки телефона.
Кроме того, троян также загружает и популярный пакет эксплойтов и устанавливает один из загруженных модулей в системную папку, что усложняет процесс его деинсталляции, а с помощью прав супер пользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такие БД содержат информацию о сохранении логина и пароли, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт.
Следует отметить, что хакеры с помощью этого вируса смогут угнать практически любой файл в системе – от фотографий и документов до файлов с данными аккаунтов мобильных приложений.
Отмечается, что недавно совместными усилиями сотрудников Департамента киберполиции и коллег из других стран было проведено спецоперацию по ликвидации транснациональной киберсети “Avalanche”, специализацией которой было в том числе распространение банковского вредоносного обеспечения.