Специалисты Департамента киберполиции обнаружили новый вредный банковский троян, направленный на пользователей мобильных телефонов под управлением операционной системы Android. Как отметили правоохранители, новая программа отличается от большинства мобильных банковских вирусов тем, что использует root-привилегии, хотя деньги можно украсть множеством способов, которые не требуют повышенных прав, и обычно авторы банковского вредоносного обеспечения к ним не склонны. Впрочем, нельзя сказать, что похожих троянов нет совсем.
Направлен данный троян на жителей Украины, Беларуси и других стран СНГ. Следует отметить, что троян быстро распространяется и сейчас количество инфицированных устройств насчитывает более 500 тысяч и по словам специалистов с каждым днем их количество увеличивается приблизительно на 30-40 тысяч Читайте также: Еврокомиссию атаковали хакеры: стали известны подробности Троян распространяется, маскируясь под различные популярные приложения, например, "ВКонтакте", "ДругВокруг", "Одноклассники", Pokemon GO, Telegram или Subway Surf.
Речь идет об их копиях, которые распространяются через неофициальные каталоги. В данном случае, внедренный в легитимное приложение код расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его. Потом запущенный файл выкачивает из управляющего сервера основную часть вредоносного кода, содержащего ссылку на скачивание еще нескольких файлов, — эксплойта для получения root, новых версий вредителя и т.д. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый загруженный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты.
В результате на зараженное устройство загружаются несколько модулей вредителя, количество и функциональность которых тоже зависят от пожеланий хозяев шпионского ПО. В результате, операторы malware получают все необходимое для кражи денег жертвы "традиционными методами". В функциональность вредоносной программы входят: Отправка, кража, удаление SMS; Запись, перенаправление, блокировка звонков; Проверка баланса; Кража контактов; Осуществление звонков; Изменение руководителя сервера; Загрузка и запуск файлов; Установка и удаление программ; Блокировка устройства с показом веб-страницы, заданной сервером злоумышленников; Составление и передача злоумышленникам списка файлов; Отправка, переименование любых файлов; Перезагрузка телефона.
Но кроме скачивания "классических" модулей, данный троян также загружает и популярный пакет эксплойтов для получения прав root, что предоставляет malware новый вектор для атаки. Так, устанавливает один из загруженных модулей в системную папку, которая усложняет процесс его деинсталляции, а с помощью прав супер-пользователя, операторы malware похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такая БД содержит информацию о логинах и паролях, истории посещений, файлах cookie и иногда даже сохранены данные банковских карт. Следует отметить, что root— права также позволяют malware похитить практически любой файл в системе — от фотографий и документов к файлам с данными аккаунтов мобильных приложений.