Аналитики «Лаборатории Касперского» обнаружили модификацию уже известного мобильного троянца Faketoken, которая умеет шифровать данные и атакует более 2 тыс. финансовых приложений. Исследователи говорят о наличии нескольких тысяч установочных пакетов обновленного троянца; самый ранний из обнаруженных пакетов относится к июлю этого года. Жертвы банкера насчитывают более 16 тыс. человек в России, на Украине, в Германии и Таиланде.

Faketoken мимикрирует под различные приложения, зачастую под Adobe Flash Player. Он умело обходит защитные механизмы ОС, даже в последних версиях Android, — например, он может получать разрешения на перекрытие других окон приложений или становиться дефолтным приложением для чтения SMS. Даже если пользователь отказывается давать вредоносному приложению права администратора, окно запроса снова появляется, перекрывая другие окна.

После получения прав администратора зловред запрашивает другие необходимые для работы разрешения: на доступ к SMS пользователя, его файлам и контактам, на отправку SMS и совершение звонков. Из-за способности банкера перекрывать другие окна у пользователя снова нет выбора, и он дает разрешения, чтобы окно банкера исчезло с экрана. Но дальше становится только хуже: троянец запрашивает право на отображение своих окон поверх других приложений, чтобы блокировать устройства и показывать фишинговые окна поверх окон других приложений — в частности, банковских.

После этого Faketoken вымогает разрешение на право быть приложением для работы с SMS по умолчанию, чтобы красть SMS на современных версиях Android. Его функциональности достаточно для того, чтобы посылать и принимать SMS, но на некоторых устройствах и версиях ОС происходит сбой. Чтобы снова отправлять и получать сообщения, пользователь меняет дефолтное приложение для работы с SMS, и троянец опять начинает выпрашивать права.

Кроме того, Faketoken пытается удалить ярлыки популярных приложений вроде соцсетей, мессенджеров и браузеров и заменить их на свои, хотя даже после замены они ведут на легитимные приложения.

Все описанные выше манипуляции — это только подготовительный этап атаки. Затем троянец приступает к непосредственной краже данных. Faketoken обращается к серверу атаки и скачивает базу данных с фразами на разных языках для 77 разных локализаций устройства. Это позволяет зловреду демонстрировать фишинговые окна на языке операционной системы.

Faketoken умеет подделывать окна таких популярных приложений, как Gmail, Google Play, а также 2249 финансовых приложений со всего мира. Шаблоны зловред получает с HTML-страницей с сервера атаки. Также из этой страницы он может вызывать некоторые методы и в результате получать некоторые данные об устройстве (например, адрес аккаунта Gmail), а также производить сброс устройства до заводских установок.

Получив соответственную команду с сервера, Faketoken может изменить маски для перехвата входящих SMS; отправить определенные SMS-сообщения на указанный номер или список номеров (вплоть до всех контактов на устройстве); выкачать архив со всеми SMS, контактами, списками установленных приложений на удаленный сервер; сбросить устройство до заводских настроек; позвонить на указанный номер; загрузить на устройство файл по указанной ссылке; удалить определенные приложения; отобразить уведомление о необходимости открыть фишинговую страницу или приложение; перекрыть другие окна фишинговым окном; запустить нужное приложение; открыть ссылки в собственном окне; а также заблокировать устройство с целью получения выкупа. Последняя команда может содержать возможность шифрования файлов.

Исследователи отмечают, что банкеры нередко имеют функцию вымогателя — например, среди таковых можно отметить троянца Svpeng. Но новая модификация Faketoken действует не только как блокер, но и как шифровальщик.

Получив соответственную команду с сервера, троянец ищет на устройстве файлы с расширениями, соответствующими 89 типам файлов, подлежащих шифрованию. Затем троянец шифрует файлы, меняя расширение на .cat. Среди шифруемых файлов есть как медиафайлы, так и документы. Для шифрования используется симметричный алгоритм шифрования AES, и пользователь потенциально может расшифровать файлы без уплаты выкупа.

Как бы ни была любопытна эта модификация троянца, исследователи отмечают, что мобильные троянцы редко используют функцию шифрования: в большинстве случаев данные, хранящиеся на устройстве, резервируются в облако, что делает вымогательство бессмысленным. Однако обширные полномочия, которые Faketoken получает при установке, несут серьезную угрозу для пользователей, которые активно используют мобильный банкинг.

Категории: Аналитика, Вредоносные программы, Главное