Департамент киберполиции Украины информирует о появлении нового вредоносного банковского трояна, который атакует устройства с ОС Android. Он отличается от большинства мобильных банковских вирусов тем, что использует root-права.

Обычно похитить деньги можно многими способами, разработчики вредоносного ПО не программируют свои «произведения» на получение привилегий суперпользователя. Направлен троян против жителей Украины, Беларуси и других стран СНГ. Троян быстро распространяется и уже инфицировал, по словам специалистов, более 500 000 устройств. И с каждым днем их количество увеличивается примерно на 30-40 тысяч. Троян распространяется, маскируясь под различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram, или Subway Surf. Речь идет о файлах приложений, которые распространяются через неофициальные каталоги и репозитории.

В обычное мобильное приложение встроен вредоносный код, который срабатывает при запуске программы. Троян загружает с сервера основную часть вредоносного кода, который содержит ссылки на скачивания еще нескольких файлов — пакета инструментов для получения root-прав, проверяет обновления трояна и пр. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый загруженный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей вредоносного ПО. Так киберпреступники получают все необходимое для кражи денег жертвы «традиционными методами».

В функциональные возможности трояна входит:

• отправление, кражу, удаления SMS;
• запись, переадресация, блокировка звонков;
• проверка баланса;
• кража контактов;
• осуществление звонков;
• смена руководителя сервера;
• загрузка и запуск файлов;
• установление и удаление программ;
• блокировка устройства с показом веб-страницы, заданной злоумышленниками;
• составление и передача списка файлов, содержащихся на устройстве;
• отправление, переименование любых файлов;
• перезагрузка телефона.

Root-права предоставляют «вредителям» новый вектор для атаки и уникальные возможности. Так, один из модулей устанавливается в системную папку, что затрудняет процесс его удаления. Также с помощью прав суперпользователя хакеры похищают базы данных браузеров Android и Chrome, которые содержат информацию о сохраненных логинах и паролях, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карточек. Root-привилегии также позволяют трояну похитить практически любой файл в системе — от фотографий и документов к файлам с данными аккаунтов мобильных приложений.