Аналитики «Лаборатории Касперского» изучили Android-троян Riltok, который охотится за платежными данными пользователей в России, Франции и других европейских странах. Зловред перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы.

Эксперты объединяют в семейство Riltok трояны, в составе которых есть библиотека librealtalk-jni.so. Она обеспечивает обмен данными с управляющим сервером, обновление вредоносных функций и взаимодействие с зараженным устройством.

Как правило, операторы Riltok маскируют свой троян под приложения сервисов онлайн-объявлений, распространяя ссылки на него через SMS. Исследователи также находили кампании, в которых зловред притворялся сервисом для поиска авиабилетов и некого магазина Android-приложений.

Попав на мобильное устройство, Riltok запрашивает доступ к службе специальных возможностей AccessibilityService — якобы из-за ошибки при установке. Всплывающее окно появляется раз за разом, пока жертва не даст разрешение. Далее Riltok перехватывает контроль над SMS и уходит в скрытый режим.

Доступ к AccessibilityService позволяет трояну открывать поддельные окна для кражи персональных данных. Такие формы могут выглядеть как уведомления от Google Play или банковских приложений — их список вшит в библиотеку librealtalk-jni.so. Последние поколения зловреда сразу открывают в браузере фишинговую страницу.

Помимо перехвата SMS, Riltok способен скрывать уведомления от легитимных приложений и сворачивать антивирусные программы. Полученные платежные данные троян проверяет на отсутствие ошибок по контрольной сумме номера и длине CVC. У зловреда также есть черный список номеров, с которым он сверяется в ходе работы.

Первые атаки трояна обнаружили в начале 2018 года. Тогда он действовал исключительно в российском интернет-пространстве, но позже появился и в Европе. Исследователи сообщают об английской, французской и итальянской версиях Riltok. В каждом случае тактика с использованием поддельных сервисов для объявлений остается неизменной.

В начале года эксперты предупреждали о растущей активности финансовых троянов Buhtrap и RTM. Их атаки были преимущественно направлены на бухгалтеров в малых и средних компаниях.

Категории: Аналитика, Вредоносные программы, Главное