Android-троянец – в обход двухфакторной аутентификации

По сообщению компании ESET, ее эксперты наблюдают рост активности мобильного троянца, крадущего банковские данные в обход двухфакторной аутентификации. Android/Spy.Agent.SI распространяется под видом мобильного приложения Flash Player. После загрузки троянец запрашивает доступ к функциям администратора устройства, что обеспечивает ему защиту от удаления.

Далее троянец каждые 25 с отправляет на удаленный сервер информацию об устройстве, включая название модели, IMEI, язык, данные об активации прав администратора. Затем идет поиск банковских мобильных приложений в памяти устройства. Обнаружив искомое, троянец загружает с удаленного сервера поддельные экраны ввода логина и пароля. Когда жертва запускает банковское приложение, фальшивый экран появляется поверх легитимного и блокирует его до ввода логина и пароля мобильного банка.

Логин и пароль, введенные в фальшивую форму, отправляются на удаленный сервер. При помощи этих учетных данных злоумышленники могут войти в аккаунт жертвы и украсть деньги со счета. Троянец также открывает доступ к SMS-сообщениям на инфицированном устройстве, что позволяет перехватывать сообщения от банка и удалять их, чтобы не вызвать подозрений у владельца.

Android/Spy.Agent.SI быстро развивается: если первые версии программы были достаточно просты и их вредоносная активность легко обнаруживалась, то новые модификации эффективно скрывают свое присутствие в системе.

На сегодня известно, что вредоносная кампания ориентирована на 20 крупнейших банков Австралии, Новой Зеландии и Турции, имеющих мобильные приложения. Вирусная лаборатория ESET предупреждает, что троянец может быть быстро перенаправлен на финансовые организации других стран.