Аналитики компании «Доктор Веб» обнаружили в Google Play Маркете банковский троян Android.Banker.2876, который распространялся под видом официальных приложений нескольких европейских банков (Bankia, Banco Bilbao Vizcaya Argentaria, Santander, Credit Agricole и Groupe Banque Populaire и Postbank).

Android.Banker.2876

Вот как работает этот вирус:

После запуска заражённое приложение запрашивает доступ к управлению телефонными звонками и SMS-сообщениями. На устройствах c Android ниже версии 6.0 эти разрешения предоставляются во время установки. Далее троян собирает следующие данные:

  • Текущее время
  • IMEI
  • MEID (идентификатор для CDMA-устройств)
  • deviceToken – токен Firebase для зараженного устройства
  • Код страны SIM-карты
  • Код оператора связи
  • Наименование  оператора связи
  • Номер телефона
  • IP-адрес смартфона
  • MAC-адрес Wi-Fi-адаптера
  • Наименование производителя смартфона и его модели

Затем вирус показывает жертве окно с сообщением о том, что для продолжения работы нужно указать номер телефона. Этот номер передаётся в облачную базу данных, а пользователь видит сообщение о необходимости подтвердить регистрацию. После нажатия на кнопку Submit приложение неожиданно для пользователя запускает игру.

Android.Banker.2876

В дальнейшем вирус работает скрытно: он убирает значок приложения с главного экрана, перехватывает SMS-сообщения и отправляет их злоумышленникам. Таким образом они могут получать одноразовые коды для входа в банковский кабинет и подтверждения перевода денег.



iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
Дарим подарки за лучшие статьи в блогах