Вірус атакує Android-пристрої українців: Банківські дані під загрозою
Про це повідомили "ДС" в прес-службі Департаменту кіберполіції.
Новий вірус відрізняється від більшості мобільних банківських вірусів тим, що використовує root-привілеї, хоча гроші можна вкрасти безліччю способів, які не вимагають підвищених прав, і зазвичай автори банківського програмного забезпечення до них не прагнуть.
Цей троян направив на жителів України, Білорусії та інших країн СНД. Вірус швидко поширюється і зараз інфіковано 500 тисяч пристроїв. За словами фахівців, з кожним днем їх кількість збільшується приблизно на 30-40 тисяч.
Троян поширюється, маскуючись під різні популярні додатки, наприклад, "ВКонтакте", "ДругВокруг", "Однокласники", Pokemon GO, Telegram, або Subway Surf.
Мова йде про копії, які поширюються через неофіційні каталоги. Вірус впроваджено в легітимний додаток розшифровує код файл, доданий зловмисниками ресурси програми, і запускає його. Потім виконуваний файл викачує з керуючого сервера основну частину шкідливого коду, який містить посилання на скачування декількох файлів.
У функціональність шкідливого програми входять: факс, крадіжка, видалення SMS; запис, переправлення, блокування дзвінків; перевірка балансу; крадіжка контактів; здійснення дзвінків; зміна керівника сервера; завантаження і запуск файлів; установка і видалення програм; блокування пристрою з показом веб-сторінки, заданою сервером зловмисників; складання та передача зловмисникам списку, який міститься на пристрої файлів; відправлення, перейменування будь-яких файлів; перезавантаження телефону.
Крім того, троян завантажує і популярний пакет експлойтів і встановлює один з завантажених модулів в системну папку, що ускладнює процес його деінсталяції, а з допомогою прав супер користувача оператори малварі викрадають бази даних дефолтного браузера Android і Google Chrome, якщо він встановлений. Такі БД містять інформацію про збереження логіну та паролі, історію відвідувань, файли cookie та іноді навіть збережені дані банківських карт.
Слід зазначити, що хакери з допомогою цього вірусу зможуть захопити практично будь-який файл в системі - від фотографій і документів до файлів з даними облікових записів мобільних додатків.
Відзначається, що нещодавно спільними зусиллями співробітників Департаменту кіберполіції і колег з інших країн було проведено спецоперацію з ліквідації транснаціонального киберсети "Avalanche", спеціалізацією якої було в тому числі поширення банківського програмного забезпечення.