На днях эксперты обнаружили новую версию банковского зловреда FakeBank. Она отличается от предшественниц дополнительным функционалом: умеет перехватывать звонки в банки и перенаправлять их на телефонные номера своих операторов, а также звонить жертвам якобы с номера их банка. Активность вредоносной программы зарегистрирована пока только в Южной Корее.

FakeBank работает на Android, запуская поддельные экраны входа в мобильный банк поверх официального приложения или полностью удаляя его и заменяя вредоносным аналогом.

Его первая версия, обнаруженная еще в 2013 году, запрашивала разрешения, которые позволяли ей собирать данные пользователей (такие как местоположение, номер телефона, баланс счета, используемые банковские приложения) и передавать их своим операторам. С 2016 года троян также использовал TeamViewer, чтобы предоставить злоумышленникам полный доступ к зараженному устройству, а также добавлял свои процессы в «белый список», чтобы сохранять активность, даже когда телефон переходит в спящий режим. Кроме того, он сбрасывал звонки на номера, которые определял как службы поддержки банков. С января 2018 года FakeBank умеет перехватывать SMS, которые финансовые организации направляют своим клиентам, выявляя сообщения с одноразовыми паролями.

Новая версия зловреда, обнаруженная экспертами Symantec, научилась перехватывать звонки в банк и перенаправлять их на телефон преступников. Выдавая себя за служащих финансовой организации, последние собирают банковские реквизиты ничего не подозревающей жертвы. Номер для перенаправления указан в коде приложения.

Создатели новой версии FakeBank предусмотрели и работу с входящими вызовами: оператор зловреда может звонить жертве с заранее заданного номера, и определитель номера на зараженном аппарате покажет вместо него телефон банка.

На сегодняшний день обнаружено в общей сложности 22 приложения Android, через которые распространяется новая версия FakeBank. Все их можно скачать в сторонних интернет-магазинах, но не в Google Play. Распространяют троян в основном через ссылки в социальных сетях.

Банковские трояны пользуются неизменной популярностью у киберпреступников. Так, недавно эксперты отметили активизацию обновленного зловреда Terdot. Известны и случаи использования банкеров в комплексных атаках, сочетающих вредоносную программу для Windows и мобильный троян.

Категории: Вредоносные программы, Мошенничество