Специалисты компании Cyble Research and Intelligence Labs (CRIL) обнаружили новую кампанию по распространению Android-трояна, который похищает данные пользователей банковских и криптовалютных приложений. По данным исследователей, вредонос уже действует как минимум в десяти странах и маскируется под популярные сервисы, пишет anti-malware.ru.
Заражение начинается с фальшивых ссылок для скачивания приложений. После установки программа уведомляет о необходимости «обновить» Google Play и предлагает пользователю выдать ряд разрешений.
Под видом компонента Google Play Services троян получает доступ к службе специальных возможностей Android, что позволяет ему закрепиться в системе и контролировать работу устройства.
После этого вредонос отслеживает запуск приложений и сравнивает их со списком целей, в который входят более 180 банковских, финансовых и криптовалютных сервисов. Когда пользователь открывает одно из таких приложений, поверх настоящего интерфейса появляется поддельная форма авторизации. Введенные логины, пароли и коды подтверждения отправляются злоумышленникам.
Исследователи также обнаружили, что троян поддерживает свыше 30 удаленных команд. Через них операторы могут управлять буфером обмена, имитировать действия пользователя, выводить ложные уведомления и выполнять другие операции на зараженном устройстве.
Кроме того, при трансляции экрана программа делает скриншоты и отправляет их на сервер злоумышленников.
Читать по теме: В Госдуме хотят рассказать о новой уловке мошенников под видом антивируса.
