Обычно похитить деньги можно многими способами, разработчики вредоносного ПО не программируют свои «произведения» на получение привилегий суперпользователя. Направлен троян против жителей Украины, Беларуси и других стран СНГ. Троян быстро распространяется и уже инфицировал, по словам специалистов, более 500 000 устройств. И с каждым днем их количество увеличивается примерно на 30-40 тысяч. Троян распространяется, маскируясь под различные популярные приложения, например, «ВКонтакте», «ДругВокруг», «Одноклассники», Pokemon GO, Telegram, или Subway Surf. Речь идет о файлах приложений, которые распространяются через неофициальные каталоги и репозитории.
В обычное мобильное приложение встроен вредоносный код, который срабатывает при запуске программы. Троян загружает с сервера основную часть вредоносного кода, который содержит ссылки на скачивания еще нескольких файлов — пакета инструментов для получения root-прав, проверяет обновления трояна и пр. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый загруженный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей вредоносного ПО. Так киберпреступники получают все необходимое для кражи денег жертвы «традиционными методами».
В функциональные возможности трояна входит:
- отправление, кражу, удаления SMS;
- запись, переадресация, блокировка звонков;
- проверка баланса;
- кража контактов;
- осуществление звонков;
- смена руководителя сервера;
- загрузка и запуск файлов;
- установление и удаление программ;
- блокировка устройства с показом веб-страницы, заданной злоумышленниками;
- составление и передача списка файлов, содержащихся на устройстве;
- отправление, переименование любых файлов;
- перезагрузка телефона.
Root-права предоставляют «вредителям» новый вектор для атаки и уникальные возможности. Так, один из модулей устанавливается в системную папку, что затрудняет процесс его удаления. Также с помощью прав суперпользователя хакеры похищают базы данных браузеров Android и Chrome, которые содержат информацию о сохраненных логинах и паролях, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карточек. Root-привилегии также позволяют трояну похитить практически любой файл в системе — от фотографий и документов к файлам с данными аккаунтов мобильных приложений.
Источник: Департамент киберполиции Украины