Новый Android-троян маскируется под Flash Player

Исследователи компании Fortinet предупредили о банковском трояне для Android-устройств, маскирующемся под Flash Player. Вредонос способен похищать учетные данные из 94 различных банковских приложений и перехватывать SMS-сообщения, что позволяет ему успешно обходить механизм двухфакторной аутентификации. Ко всему прочему, троян содержит дополнительные модули, способные атаковать популярные соцсети.

Как именно вредонос попадает на устройства, исследователи пока не выяснили. Наверняка злоумышленники распространяют троян через один или несколько сторонних магазинов приложений. После установки программы в лаунчере появляется иконка Flash Player. Когда пользователь нажимает на иконку, открывается поддельная страница Google Play, запрашивающая для приложения права администратора. После получения прав администратора троян больше невозможно деинсталлировать.

Вредоносное ПО отображает поддельную страницу, запрашивающую права, поверх других приложений. Если пользователь нажмет на кнопку «CANCEL», страница закроется, а затем появится снов. После нажатия на «ACTIVATE» троян получает права администратора. Иконка Flash Player исчезает из лаунчера, однако вредонос остается активным.

После установки троян собирает данные о зараженном устройстве (номер телефона, версия Android, IMEI, код ISO, модель устройства, установленные приложения и пр.), отправляет их на свой C&C-сервер и ждет дальнейших команд. Вредонос открывает поверх легитимных приложений поддельное окно, запрашивающее данные кредитных карт.