Фото: ТАСС/Зураб Джавахадзе
Эксперты «Лаборатории Касперского» обнаружили новую финансовую угрозу для операционной системы Android. Вирус хитроумно маскируется одновременно и под официальный магазин приложений Google Play, и под приложение платежной системы Google Wallet, настойчиво вымогая у пользователя реквизиты его банковской карты.
Подавляющее большинство попыток заражения смартфонов отмечено в России. «Троян» распространяется посредством SMS-спама с предложением установить обновление Google Play и сразу после запуска запрашивает права администратора, блокируя возможность работы с устройством до их получения. Добившись своего, вредоносная программа отображает окно с требованием ввода реквизитов банковской карты якобы для ее авторизации в системе Google Wallet», — пояснили эксперты «Лаборатории Касперского».
Внешний вид вируса. Фото: пресс-служба «Лаборатории Касперского»
Информация о карте проверяется на соответствие формату BIN (Bank Identification Number) и на принадлежность к довольно большому списку платежных систем. Только получив корректные данные, троянец закрывает окна и отсылает собранные сведения на сервер злоумышленников. Затем вредоносная программа, не подавая внешних признаков, продолжает функционировать на мобильном устройстве, собирая информацию о его владельце.
Напомним, в апреле сотрудники управления «К» МВД вычислили группу хакеров, которые крали деньги со счетов пользователей смартфонов на базе Android.
По данным компании Group-IB, занимающейся кибербезопасностью, «троян» хакеров после установки на мобильное устройство запрашивал баланс привязанной к номеру банковской карты, скрывал поступающие SMS-уведомления и осуществлял переводы со счета злоумышленникам.
Сами хакеры назвали программу «Пятый рейх», а в системе управления использовали нацистскую символику, из-за чего преступная группа получила кодовое название «Фашисты». Киберпреступники также собирали данные пластиковых карт, для чего использовали фишинговые страницы в интернете. Программа показывала поверх Google Play свое окно с предложением ввести данные банковской карты, и после того как пользователь ввел данные, они немедленно передавались на сервер злоумышленников.
Позже хакеры сделали фишинговые страницы для некоторых российских и украинских банков, но в этот раз они получали данные не карт, а логины и пароли от интернет-банкинга. Когда пользователь запускал банковское приложение, «троян» подменял оригинальное окно на фишинговое, где пользователь сам вводил сведения.
Распространялась программа через SMS-рассылку, в которой была ссылка на загрузку вируса под видом Flash Player.