Аналитики компании «Доктор Веб» обнаружили в Google Play Маркете банковский троян Android.Banker.2876, который распространялся под видом официальных приложений нескольких европейских банков (Bankia, Banco Bilbao Vizcaya Argentaria, Santander, Credit Agricole и Groupe Banque Populaire и Postbank).



Вот как работает этот вирус:

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

После запуска заражённое приложение запрашивает доступ к управлению телефонными звонками и SMS-сообщениями. На устройствах c Android ниже версии 6.0 эти разрешения предоставляются во время установки. Далее троян собирает следующие данные:

• Текущее время
• IMEI
• MEID (идентификатор для CDMA-устройств)
• deviceToken – токен Firebase для зараженного устройства
• Код страны SIM-карты
• Код оператора связи
• Наименование  оператора связи
• Номер телефона
• IP-адрес смартфона
• MAC-адрес Wi-Fi-адаптера
• Наименование производителя смартфона и его модели

Затем вирус показывает жертве окно с сообщением о том, что для продолжения работы нужно указать номер телефона. Этот номер передаётся в облачную базу данных, а пользователь видит сообщение о необходимости подтвердить регистрацию. После нажатия на кнопку Submit приложение неожиданно для пользователя запускает игру.



В дальнейшем вирус работает скрытно: он убирает значок приложения с главного экрана, перехватывает SMS-сообщения и отправляет их злоумышленникам. Таким образом они могут получать одноразовые коды для входа в банковский кабинет и подтверждения перевода денег.

---

iGuides в Telegram — t.me/iguides_ru
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
Дарим подарки за лучшие статьи в блогах