Список Android-приложений, ворующих банковские учетные данные, недавно пополнился. К таким известным оверлейным программам, как Faketoken, Svpeng и BankBot, добавился троянец Red Alert 2.0. По сведениям Bleeping Computer, специалисты из голландской компании SfyLabs впервые обнаружили новый, написанный с нуля Android-банкер на русскоязычном теневом форуме несколько месяцев назад.

По принципу работы Red Alert 2.0 во многом повторяет своих предшественников. Троянец ждет момента, когда пользователь откроет банковское приложение или другую программу, оперирующую персональными данными. Дождавшись, зловред демонстрирует HTML-окно с сообщением об ошибке, налагая его поверх интерфейса нужного приложения, и просит повторно ввести логин и пароль, которые он впоследствии отправляет на командный сервер. Примечательно, что список мишеней новобранца хранится на С&C, что необычно для Android-банкеров.

Red Alert 2.0, похоже, не нацелен на какую-либо конкретную страну, а создает HTML-оверлеи для самых известных банков и финансовых учреждений по всему миру. Такой неопределенный таргетинг, скорее всего, связан с тем, что автор Red Alert 2.0 сдает его в аренду, притом задешево, и вынужден ориентироваться на широкую аудиторию потенциальных клиентов. Эксперты говорят, что новый троянец способен создавать фишинговые экраны для более чем 60 банков и социальных сетей. Новые оверлеи создаются примерно раз в два дня.

Главная особенность Red Alert 2.0 заключается в том, что он использует Twitter для предотвращения потери ботов. Если прописанный в коде С&C-сервер недоступен, зловред получает новый из учетной записи Twitter. Исследователи не преминули отметить, что подобная альтернатива ранее встречалась лишь у десктопных банкеров, а для Android-троянцев это новинка.

Red Alert 2.0 также собирает списки контактов с зараженных устройств и способен перехватывать SMS-сообщения с целью обхода двухфакторной аутентификации.

Эксперты предупреждают, что новоявленный троянец работает на всех версиях Android до 6.0 включительно, и к тому же постоянно развивается. В комментарии для Bleeping Computer гендиректор и основатель SfyLabs Ченгиз Хан Сахин (Cengiz Han Sahin) отметил, что автор Red Alert 2.0 работает над модулями SOCKS и VNC, призванными расширить RAT-подобную функциональность зловреда. Новейшая функция, добавленная в кодовую базу троянца, — это возможность регистрации и блокировки входящих телефонных звонков с номеров, связанных с банками и финансовыми учреждениями.

По данным SfyLabs, все программы, распространяющие Red Alert 2.0, размещены в сторонних магазинах приложений для Android и не представлены в Google Play. Пользователям рекомендуют не использовать для загрузок сторонние магазины, чтобы не попасть в группу риска. Однако официальный Play Market тоже не может пока дать стопроцентных гарантий. Так, банковский троянец BankBot, укравший конфиденциальные данные из 424 банковских приложений, неоднократно обходил защиту магазина Google и был скачан несколько тысяч раз.

Категории: Аналитика, Вредоносные программы