ИБ-специалист Лукас Стефанко (Lukas Stefanko) из компании ESET рассказал о новом банковском трояне, атакующем пользователей Android. Безымянный зловред похищает деньги с PayPal-аккаунта жертвы, а также пытается украсть номер банковской карты и учетные данные аккаунта Google, открывая фальшивые формы для ввода информации. Код программы также содержит сообщение о блокировке экрана за просмотр порно, которая в данный момент отключена, но может быть использована в последующих кампаниях.

Приложение не представлено в официальном магазине Google Play и распространяется через неофициальные репозитории, маскируясь под утилиту Android Optimization. Попав на мобильное устройство, зловред скрывает свою иконку и запрашивает разрешение на доступ к специальным возможностям Android, позволяющим имитировать пользовательские тапы, озвучивать текст с экрана и управлять устройством с помощью голоса.

Троян ищет на устройстве установленное приложение PayPal и либо ждет, пока жертва откроет его сама, либо выводит на экран фальшивое уведомление, чтобы заставить ее сделать это. Зловред ожидает, пока владелец устройства пройдет все процедуры авторизации, преодолевая таким образом и обычную защиту паролем, и двухфакторную аутентификацию. Как только жертва входит в свой PayPal-аккаунт, банкер инициирует перевод денег на счет, принадлежащий злоумышленникам, и одобряет его.

Вывод средств происходит за пять секунд, поэтому пользователь не успевает предотвратить кражу. Если денег на счету достаточно, зловред проводит транзакцию на 1000 единиц в валюте аккаунта и повторяет это действие каждый раз, когда жертва запускает PayPal.

Наряду с похищением денег троян способен по команде злоумышленников получать данные адресной книги, совершать телефонные звонки и устанавливать другие приложения. Зловред может полностью перехватить работу с СМС, чтобы удалять подтверждения о совершенных транзакциях или похищать одноразовые пароли.

Троян отслеживает работу нескольких приложений и выводит фальшивый экран для ввода данных при их запуске. Атака направлена на следующие приложения:

  • Viber;
  • WhatsApp;
  • Skype;
  • Google Play;
  • Gmail.

Зловред блокирует экран целевого приложения и предлагает жертве ввести номер банковской карты, а в случае с почтовым клиентом — данные для авторизации.

Помимо этого, исследователи обнаружили в программе несколько поддельных экранов логина для различных банковских приложений. По словам специалистов, троян не проверяет корректность введенных данных и снимает блокировку, даже получив последовательность случайных символов.

В октябре этого года исследователи Cisco сообщили о модульном Android-трояне GPlayed, сочетающем в себе функции банкера и шпиона. Приложение, маскировавшееся под сервис Google Play, было нацелено на русскоязычных пользователей и собирало финансовую информацию, похищало учетные данные, а также отслеживало перемещения жертвы. По сообщению экспертов, разработка находится в стадии тестирования, но в будущем способна превратиться в серьезную угрозу.

Категории: Вредоносные программы, Мошенничество