Android-троян Faketoken похищает банковские данные и шифрует файлы

В настоящее время никого не удивить мобильными банковскими троянами, оснащенными функционалом вымогательского ПО. Как правило, подобные вредоносы просто блокируют устройство и требуют выкуп за его разблокировку. Тем не менее, эксперты «Лаборатории Касперского» обнаружили новый вариант Trojan-Banker.AndroidOS.Faketoken, способный шифровать хранящиеся на смартфоне файлы.

В общей сложности исследователи обнаружили несколько тысяч установочных пакетов Faketoken, способных шифровать файлы. Наиболее ранний из них относится к июлю текущего года. Банковский троян способен атаковать свыше 2 тыс. финансовых приложений, и к настоящему времени его жертвами стали порядка 16 тыс. пользователей в 27 странах, включая Россию, Украину и Германию.

Злоумышленники распространяют вредоносное ПО под видом различных программ, игр и Adobe Flash Player. Faketoken способен взаимодействовать с реализованными в ОС механизмами безопасности. К примеру, он может запрашивать разрешение на отображение поверх окон других программ или становиться приложением по умолчанию для работы с SMS.

Установившись на системе и получив все необходимые права, Faketoken приступает к хищению данных. Вредонос загружает с C&C-сервера базу данных с фразами на разных языках для 77 локализаций смартфона или планшета. С их помощью троян отображает на экране устройства фишинговые уведомления. Шифрование хранящихся на устройстве файлов осуществляется с помощью симметричного алгоритма AES. Троян способен шифровать как медаифайлы, так и документы. К зашифрованным файлам Faketoken добавляет расширение .cat.