Специалисты «Доктор Веб» сообщили о выявлении нового троянца, который предназначен для похищения денег со счетов пользователей популярных Android-устройств. Утилита получила обозначение Android.BankBot.65.origin. Ключевая особенность вируса – преступники встроили его в официальный клиент для работы с онлайн-банкингом и распространяют его в сети под видом официальной программы.
Такая схема давно используется злоумышленниками, поскольку в этом случае вероятность заражения выше. Пользователи добровольно инсталлируют опасное приложение, думая, что устанавливают безобидное ПО.
На этот раз преступники решили распространять при помощи данной схемы вирус Android.BankBot.65.origin, внедрив его в мобильный клиент от Сбербанка России. После модификации приложение распространялось при помощи популярного онлайн-каталога с контентом для мобильных телефонов. Специалисты отметили, что модифицированная программа сохраняет первоначальный функционал, что усложняет выявление вредоносной активности.
Сразу после запуска Android.BankBot.65.origin автоматически создает файл конфигурации, который и отвечает за основной функционал троянской программы. В соответствии с полученными инструкциями вредоносная утилита соединяется с управляющим узлом и отправляет на него следующие данные (используется POST-запрос):
- IMEI устройства;
- MAC-адрес Bluetooth-адаптера;
- обозначение сотового оператора;
- версия API системы;
- наличие программы платежной системы QIWI;
- используемая версия троянской программы;
- текущая выполняемая команда.
В случае получения от командного сервера команды «hokkei» вредоносная программа отправляет ему список контактов (в зашифрованном виде), а также по специальной команде обновляет файл конфигурации.
Функционал вируса схож с возможностями программ данного класса. Кроме прочего, Android.BankBot.65.origin умеет перехватывать входящие SMS и отправлять сообщения на определенные номера. Вирус также может добавлять собственные сообщения в список входящих SMS. Злоумышленники могут похищать денежные средства (при помощи SMS-команд) и реализовать различные мошеннические схемы. К примеру, на телефоне может появиться сообщение о блокировке карты или с просьбой перевести деньги родственнику, который якобы попал в беду.