Вирус атакует Android-устройства украинцев: Банковские данные под угрозой

Обнаружен новый вредоносный банковский троян, направленный на пользователей мобильных телефонов под управлением ОС Android

Об этом сообщили "ДС" в пресс-службе Департамента киберполиции.

Новый вирус отличается от большинства мобильных банковских вирусов тем, что использует root-привилегии, хотя деньги можно украсть множеством способов, которые не требуют повышенных прав, и обычно авторы банковского вредоносного обеспечения к ним не стремятся.

Этот троян направил на жителей Украины, Белоруссии и других стран СНГ. Вирус быстро распространяется и сейчас инфицировано 500 тысяч устройств. По словам специалистов, с каждым днем их количество увеличивается примерно на 30-40 тысяч.

Троян распространяется, маскируясь под различные популярные приложения, например, "ВКонтакте", "ДругВокруг", "Одноклассники", Pokemon GO, Telegram, или Subway Surf.

Речь идет о копии, которые распространяются через неофициальные каталоги. Вирус внедрен в легитимное приложение, код расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его. Затем исполняемый файл скачивает с управляющего сервера основную часть вредоносного кода, который содержит ссылку на скачивание еще нескольких файлов.

В функциональность вредоносного программы входят: отправление, кража, удаление SMS; запись, переправки, блокировка звонков; проверка баланса; кража контактов; осуществление звонков; смена руководителя сервера; загрузка и запуск файлов; установка и удаление программ; блокировка устройства с показом веб-страницы, заданной сервером злоумышленников; составление и передача злоумышленникам списка, содержащегося на устройстве файлов; отправка, переименование любых файлов; перезагрузки телефона.

Кроме того, троян также загружает и популярный пакет эксплойтов и устанавливает один из загруженных модулей в системную папку, что усложняет процесс его деинсталляции, а с помощью прав супер пользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такие БД содержат информацию о сохранении логина и пароли, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт.

Следует отметить, что хакеры с помощью этого вируса смогут угнать практически любой файл в системе - от фотографий и документов до файлов с данными аккаунтов мобильных приложений.

Отмечается, что недавно совместными усилиями сотрудников Департамента киберполиции и коллег из других стран было проведено спецоперацию по ликвидации транснациональной киберсети "Avalanche", специализацией которой было в том числе распространение банковского вредоносного обеспечения.