Мобильный троянец российского происхождения Android/Spy.Banker.F демонстрирует устойчивый рост числа обнаружений с начала 2014 года. Пик активности зловреда пришелся на февраль 2015 года, заявили эксперты ESET.
Первые образцы Android/Spy.Banker, предназначенные для кражи данных онлайн-банкинга, были обнаружены в конце 2013 года. Начиная с середины 2014 года злоумышленники активно развивают это семейство, запуская в эксплуатацию новые варианты вредоносного ПО, ориентированные на различные системы онлайн-банкинга. Версия Android/Spy.Banker.F, исследованная специалистами ESET, составляет до 68% всех выявленных образцов семейства.
До 98% заражений Android/Spy.Banker.F приходится на Россию, 0,76 и 0,21% соответственно — на Украину и Белоруссию. При этом некоторые образцы, обнаруженные вирусными экспертами ESET, распространялись через колумбийские и чилийские сайты.
Заражение происходит, когда Android-пользователь посещает один из инфицированных сайтов. На его смартфон или планшет загружается АРК-файл под названием «Anketa», после чего в главном меню устройства появляется значок «Установка». Когда пользователь запускает приложение, оно запрашивает разрешения администратора под предлогом необходимости шифрования данных (его поддерживают версии Android 3.0 и выше). Благодаря правам администратора установленный Android/Spy.Banker.F препятствует своему удалению из системы.
После установки троянец передает на удаленный сервер номер телефона, IMEI зараженного устройства, страну, версию Android и другие данные. Функционал Android/Spy.Banker.F позволяет преступникам получить логины и пароли онлайн-банкинга, удаленно управлять зараженным устройством и устанавливать другие вредоносные программы.
Когда пользователь открывает Google Play, Android/Spy.Banker.F выводит на экран форму для ввода данных банковской карты. Невнимательный пользователь вполне может перепутать окно с легитимным запросом или ввести аутентификационные данные, чтобы избавиться от всплывающих окон. Эксперты ESET рекомендуют соблюдать осторожность при установке мобильных приложений, найденных за пределами Google Play, игнорировать сайты, предлагающие загрузить APK-файлы, и не переходить по подозрительным ссылкам, полученным в SMS или онлайн-мессенджерах.