Слід зазначити що даний троян швидко розповсюджується і зараз кількість інфікованих пристроїв налічує більше 500 тисяч і зі слів спеціалістів із кожним днем їх кількість збільшується приблизно на 30-40 тисяч, повідомили у кіберполіції.

Троян поширюється, маскуючись під різні популярні додатки, наприклад, "ВКонтакте", "ДругВокруг", "Однокласники", Pokemon GO, Telegram, або Subway Surf. Мова йде про їх копії, які поширюються через неофіційні каталоги. В даному випадку впроваджений в легітимний додаток, код розшифровує файл, доданий зловмисниками в ресурси програми, і запускає його,
– йдеться у повідомлені кіберполіції.

Запущений файл викачує з керуючого сервера основну частину шкідливого коду, який містить посилання на скачування ще декількох файлів - експлоїта для отримання рута, нових версій шкідника і так далі. Кількість посилань може змінюватися в залежності від планів зловмисників, більш того, кожен завантажений файл може додатково завантажити з сервера, розшифрувати і запустити нові компоненти. В результаті на заражений пристрій завантажуються кілька модулів шкідника, кількість і функціональність яких теж залежать від побажань господарів ШПЗ.

Читайте також: Як користуватись смартфоном на холоді: практичні поради

В результаті оператори малварі отримують все необхідне для крадіжки грошей жертви "традиційними методами". У функціональність шкідливого програми входять:

відправлення, крадіжка, видалення SMS;
запис, переправлення, блокування дзвінків;
перевірка балансу;
крадіжка контактів;
здійснення дзвінків;
зміна керівника сервера;
завантаження і запуск файлів;
встановлення і видалення програм;
блокування пристрою з показом веб-сторінки, заданої сервером зловмисників;
складання і передача зловмисникам списку файлів, які містяться на пристрої;
відправка, перейменування будь-яких файлів;
перезавантаження телефону.

Але крім скачування "класичних" модулів, даний троян також завантажує і популярний пакет експлойтів для отримання прав root, що надає малварі новий вектор для атаки і унікальні можливості.

Так, встановлює один з завантажених модулів в системну папку, що ускладнює процес його деінсталяції, а за допомогою прав суперкористувача оператори малварі викрадають бази даних дефолтного браузера Android і браузера Google Chrome, якщо він встановлений. Такі БД містять інформацію про збереженні логіни і паролі, історію відвідувань, файли cookie та іноді навіть збережені дані банківських карт.

Слід відзначити, що root-права також дозволяють малварі викрасти практично будь-який файл в системі – від фотографій і документів до файлів з даними акаунтів мобільних додатків.

Читайте також: Чим запам’ятався 2016 рік: технічні новинки, які вразили світ