Внимание специалистов компании «Доктор Веб» привлек очередной представитель семейства Android.BankBot. Троянец, получивший имя Android.BankBot.80.origin, замаскирован злоумышленниками под официальное приложение-клиент одной из российских кредитных организаций и имеет соответствующее имя, а также значок, скопированный из настоящего банковского клиента для Android. Если обманутый пользователь установит и запустит троянца, тот попытается получить доступ к правам администратора мобильного устройства, демонстрируя соответствующий запрос снова и снова до тех пор, пока жертва не согласится выполнить требуемое действие. После этого Android.BankBot.80.origin удаляет ранее созданный на главном экране ярлык приложения и сразу начинает вредоносную деятельность.
В частности, троянец сканирует адресную книгу пользователя и отправляет по всем найденным в ней телефонным номерам SMS-сообщение вида «Привет, проголосуй за меня http://******konkurs.ru/». При переходе по указанному в сообщении веб-адресу получатели данного SMS попадают на мошеннический сайт, якобы связанный с проводимым в настоящее время конкурсом фотографии. С данного веб-портала на мобильные устройства потенциальных жертв автоматически загружается одна из модификаций Android.BankBot.80.origin. Кроме того, на этом же на сайте владельцам смартфонов и планшетов под управлением различных операционных систем также предлагается установить программу для участия в процессе голосования за лучшие работы фотографов. Однако это лишь уловка киберпреступников, призванная «украсить» мошеннический портал: вне зависимости от того, какую мобильную платформу в итоге выберет пользователь, для загрузки ему будет предложен все тот же банкер, предназначенный для заражения ОС Android.
Одновременно с рассылкой SMS-спама Android.BankBot.80.origin соединяется с управляющим сервером и передает на него сообщение об успешном заражении Android-смартфона или планшета. Среди прочего в отправляемом запросе троянец указывает название мобильного оператора, модель устройства, IMEI-идентификатор, номер телефона жертвы, версию ОС, язык системы. Затем Android.BankBot.80.origin ожидает поступления дальнейших команд злоумышленников, для чего с определенной периодичностью связывается с удаленным узлом на предмет появления новых указаний вирусописателей.
Основное предназначение данного троянца — незаметная кража денег у российских клиентов ряда сотовых операторов, кредитных организаций, а также пользователей нескольких популярных платежных систем.
Вирусописатели реализовали в троянце механизм, который призван продлить срок пребывания вредоносного приложения на зараженных устройствах как минимум до тех пор, пока троянец успешно не выполнит хищение средств. Так как Android.BankBot.80.origin осуществляет массовую рассылку SMS по всем имеющимся у пользователя контактам, рано или поздно у кого-нибудь из получателей сообщений должны возникнуть определенные сомнения в их происхождении. Наиболее простой и очевидный способ понять, действительно ли пришедшее SMS было отправлено вашим родственником, знакомым или коллегой — это позвонить на его номер и узнать лично. Поэтому, чтобы пользователя не смогли своевременно предупредить о наличии троянца на его мобильном устройстве, злоумышленники предусмотрели в функционале Android.BankBot.80.origin блокировку «опасных» для них звонков. Сразу после рассылки SMS-спама банкер инициализирует переадресацию всех входящих вызовов на номер +79009999999, тем самым не только лишая свою жертву возможности быть оперативно предупрежденным о наличии проблемы, но также и частично «отрезая» пострадавшего пользователя от внешнего мира.