Специалисты «Лаборатории Касперского» обнаружили модификацию мобильного банковского троянца Faketoken, который может шифровать данные пользователя. Под видом различных программ и игр, в т.ч. Adobe Flash Player, модифицированный троянец может похищать учетные данные из более чем 2000 финансовых приложений Android. На сегодняшний день жертвами модифицированного Faketoken стали более 16 000 человек в 27 странах, большинство из них находятся в России, на Украине, в Германии и Таиланде.
Новая способность шифрования данных необычна тем, что большинство мобильных программ-вымогателей фокусируются на блокировке устройства, а не на данных, которые, как правило, имеют резервные копии в облаке. В случае с Faketoken данные — в т.ч. документы и такие мультимедиафайлы, как фото и видео — шифруются с помощью стандарта симметричного шифрования AES, который, в некоторых случаях, может быть расшифрован пользователем без уплаты выкупа.
Изначально, попав в систему, троянец запрашивает права администратора, разрешение на наложение других приложений или вовсе становится SMS-приложением по умолчанию — часто не оставляя пользователям иного выбора, кроме как подчиниться. Кроме всего прочего, эти права позволяют Faketoken красть данные: как напрямую (контакты и файлы), так и опосредованно (через фишинговые страницы).
Троянец предназначен для похищения данных в международном масштабе: когда все необходимые права в наличии, он загружает базу данных из своего командного и управляющего сервера, содержащую фразы на 77 языках для определения местонахождения различных устройств. Они используются для создания фишинговых сообщений, чтобы завладеть паролями учетных записей пользователей Gmail. Faketoken может также дублировать Google Play, похищая данные кредитной карты с фишинговой страницы. На самом деле, троянец может загрузить длинный список приложений для атаки и даже страницу-шаблон HTML, чтобы создать фишинговые страницы для соответствующих приложений. Исследователи «Лаборатории Касперского» обнаружили список из 2249 финансовых приложений.
Интересно, что модифицированный Faketoken также пытается заменить собственными версиями ярлыки приложений для социальных сетей, мессенджеров и браузеров. Причина этого не понятна, т.к. замененные иконки открывают все те же законные приложения.