«Лаборатория Касперского» обнаружила опасную версию банковского зловреда Trojan-Banker.AndroidOS.Faketoken, которая способна шифровать пользовательские данные.
Вредоносная программа распространяется под видом различных приложений и игр для операционной системы Android. Сразу после запуска троян запрашивает права администратора устройства. Если пользователь не соглашается, Faketoken снова и снова перезапускает окно с соответствующим требованием, практически не оставляя шансов отказаться.
Троян под видом приложения «Яндекс.Навигатор» запрашивает права администратора устройства
Получив права администратора, зловред начинает запрашивать необходимые ему разрешения: на доступ к SMS, файлам и контактам, на отправку SMS и совершение звонков. Кроме того, Faketoken пытается сделать себя утилитой для работы с SMS по умолчанию.
Далее троян загружает с сервера базу данных, содержащую фразы на десятках разных языков. Используя эту базу, Faketoken демонстрирует жертве различные фишинговые сообщения с целью кражи учётной информации Gmail и данных банковских карт.
Кроме того, от управляющего сервера троян может получить список атакуемых приложений и страницу-шаблон, на основе которой генерируются фишинговые страницы для других программ.
Наконец, Faketoken может вымогать деньги, блокируя экран инфицированного устройства, а также шифруя файлы пользователя. Для кодирования используется симметричный алгоритм AES. Среди шифруемых данных есть как медиафайлы (картинки, музыка, видео), так и документы.
Жертвами зловреда уже стали более 16 000 человек в 27 странах, в основном это пользователи из России, Украины, Германии и Таиланда.
Источник:
