Android-троян крадет деньги со счетов пользователей взломанных приложений

Исследователи «Доктор Веб» сообщили о появлении нового банковского трояна для ОС Android, атакующего пользователей взломанных мобильных приложений. Вредонос Android.BankBot.104.origin распространяется злоумышленниками под видом ПО для взлома игр и читов.

Операторы трояна размещают его на мошеннических веб-сайтах, предлагающих информацию о более чем 1000 популярных игр. Данные ресурсы имеют цифровую подпись, поэтому не вызывают подозрений у большинства пользователей. При попытке загрузить с сайта то или иное приложение жертва перенаправляется на другой мошеннический сайт, распространяющий Android.BankBot.104.origin под видом взломанного ПО для игр или читерских программ.

Троян устанавливается на смартфоны и планшеты жертв как приложение под именем «НАСК» и после запуска пытается получить доступ к функциям администратора устройства. Затем вредонос удаляет свой значок из списка приложений на главном экране.

Далее вредоносное ПО определяет наявность подключения услуги мобильного банкинга, а также доступность каких-либо денежных счетов. С этой целью троян отправляет содержащие специальные команды SMS-сообщения на соответствующие номера банковских систем. В случае обнаружения денег вредонос незаметно переводит их на счета преступников.

Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.