Новый всплеск активности троянца Faketoken

По сообщению компании BI.ZONE, ее эксперты зафиксировали в российском сегменте интернета всплеск активности вредоносного ПО Faketoken. Троянская программа Trojan-Banker.AndroidOS.Faketoken похищает деньги у пользователей мобильных устройств на базе ОС Android, маскируясь под приложение популярной торговой онлайн-площадки.

Троянец Faketoken появился в 2012 г., единственной функциональностью первой версии был перехват СМС-паролей от онлайн-банков. Но за восемь лет эволюции возможностей стало больше: Faketoken образца 2020 г. способен перехватывать СМС на устройстве, передавать сообщения на сервер преступников, а также отображать фишинговые окна для сбора данных банковских карт поверх легитимных приложений. Особенность последней версии троянца – способность препятствовать удалению ВПО с устройства с использованием антивирусных программ. Чтобы удалить Faketoken, необходимо перевести ОС в безопасный режим.

Специалисты BI.ZONE связывают новую активность троянца с массовым переходом сотрудников компаний на удаленную работу. Кроме того, пока люди сидят дома, растет популярность онлайн-торговли, и злоумышленники этим пользуются. В настоящее время в ботнет Faketoken входит более 10 тыс. устройств. Для распространения вредоносного ПО злоумышленники ежедневно регистрируют до 7 новых фишинговых доменов.

Большинство заражений происходит по стандартной схеме. Пользователь размещает объявление на торговой онлайн-площадке и получает СМС или сообщение в мессенджере со ссылкой на фишинговую страницу. Он переходит по ссылке и скачивает установочный .apk файл, который внешне неотличим от приложения данной онлайн-площадки. После запуска файла и предоставления прав вредоносному приложению злоумышленники получают возможность управлять зараженным устройством. Далее, когда жертва заходит в целевое легитимное приложение (например, мобильный банк или сервис такси), троянец под вымышленным предлогом запрашивает ввод данных банковской карты и перехватывает СМС-пароли от банка. С помощью этой информации преступники похищают денежные средства пользователя.

Как отмечают в BI.ZONE, Faketoken очень быстро распространяется, ежедневно заражая более 2000 устройств. Чтобы не стать жертвой преступников, специалисты рекомендуют не переходить по ссылкам из подозрительных источников, устанавливать приложения только из официальных магазинов и не отключать защитный сервис Google Play Protect, а также использовать антивирус и своевременно обновлять антивирусные базы.