Українські кіберполіцейські виявили новий шкідливий банківський троян з root-правами, який заражає Android-смартфони. Спрямований він на мешканців України, Білорусі та інших країн СНД. У Департаменті кіберполіції звітують про 500 тис. інфікованих пристроїв; при цьому щодня кількість заражених пристроїв збільшується на 30‑40 тис.
За інформацією відомства, троян маскується під різні популярні додатки, наприклад, ВКонтакте, «ДругВокруг», Одноклассники, Pokemon GO, Telegram або Subway Surf.
«Ідеться про їхні копії, які поширюються через неофіційні каталоги. Впроваджений у легітимний додаток код розшифровує файл, доданий зловмисниками в ресурси програми, і запускає його. Потім запущений файл викачує з керівного сервера основну частину шкідливого коду, який містить посилання на скачування ще декількох файлів — експлоїта для отримання рута, нових версій шкідника і так далі», — пояснюють у кіберполіції.
До функціоналу трояну входять: відправлення/крадіжка/видалення SMS, запис/переадресація/блокування дзвінків, перевірка балансу, крадіжка контактів, здійснення дзвінків, зміна керівника сервера, завантаження і запуск файлів, встановлення і видалення програм, блокування пристрою з показом веб-сторінки, заданої сервером зловмисників, складання і передача зловмисникам списку файлів, які містяться на пристрої, відправка/перейменування будь-яких файлів, перезавантаження телефону.
Кожен завантажений файл може додатково завантажити з сервера, розшифрувати і запустити нові компоненти. У підсумку на заражений пристрій завантажуються кілька модулів шкідника.
Троян також завантажує і популярний пакет експлойтів для отримання прав root: встановлює один із завантажених модулів у системну папку, що ускладнює процес його деінсталяції, а за допомогою прав користувача оператори шкідливого ПЗ викрадають бази даних дефолтного браузера Android і браузера Google Chrome (якщо такий встановлений). Такі бази даних містять інформацію про збереженні логіни й паролі, історію відвідувань, файли cookie, іноді — збережені дані банківських карт. Root-права також дозволяють викрасти фактично будь-який файл у системі: від фотографій і документів до файлів із даними екаунтів мобільних додатків.
За 2015 рік кібершахраї вкрали з рахунків українців 95 млн грн. Щодня жертвами кіберзлочинців стають в середньому 100 українців.
За матеріалами: Watcher