Аналитики компании «Доктор Веб» исследовали новый троян, инфицирующий смартфоны и планшеты на базе операционной системы Android. Вредонос похищает персональные сведения владельцев устройств, а также денежные средства с банковских счетов и со счетов мобильных телефонов жертв.
Троян распространяется под видом системного обновления различных популярных программ. После установки фальшивого ПО, вредоносная программа размещает свой ярлык на экране мобильного устройства. При этом он может соседствовать с ярлыком легитимного приложения, если оно уже инсталлировано. Таким образом, жертва по ошибке может запустить подложную программу вместо настоящего ПО. Стоит отметить, что в функционале вредоносной программы предусмотрена автоматическая загрузка при каждом включении операционной системы, и даже если владелец мобильного устройства не активирует вредоносное приложение, запуск трояна все равно произойдет.
После запуска вредонос запрашивает у пользователя доступ к функциям администратора мобильного устройства, что в некоторой мере позволяет трояну усложнить его удаление.
По существу, вредонос способен использовать два варианта атаки. Первый сценарий используется в случае, если пользователь запускает одно из интересующих преступников приложений. Тогда троян отображает поверх интерфейса программы фишинговое диалоговое окно с полями для ввода персональной информации (логин, пароль, номер мобильного телефона, данные кредитной карты). Все добытые таким образом сведения передаются на удаленный сервер злоумышленников.
Второй сценарий атаки не зависит от действий пользователя. В этом случае вредонос получает указания от злоумышленников, поступающие с C&C-сервера. К примеру, троян может выполнять USSD-запрос, перехватывать и отправлять SMS-сообщения, передавать на сервер мошенников данные об установленных приложениях и т.д.
