Следует отметить, что данный троян быстро распространяется и сейчас количество инфицированных устройств насчитывает более 500 тысяч и по словам специалистов с каждым днем их количество увеличивается примерно на 30-40 тысяч, сообщили в киберполиции.
Троян распространяется, маскируясь под различные популярные приложения, например, "ВКонтакте", "ДругВокруг", "Одноклассники", Pokemon GO, Telegram, или Subway Surf. Речь идет об их копии, которые распространяются через неофициальные каталоги. В данном случае внедрен в легитимное приложение, код расшифровывает файл, добавленный злоумышленниками в ресурсы программы, и запускает его,
– говорится в сообщении киберполиции.
Запущенный файл скачивает с управляющего сервера основную часть вредоносного кода, который содержит ссылки на скачивание еще нескольких файлов - эксплоита для получения рута, новых версий вредителя и так далее. Количество ссылок может меняться в зависимости от планов злоумышленников, более того, каждый загруженный файл может дополнительно загрузить с сервера, расшифровать и запустить новые компоненты. В результате на зараженное устройство загружаются несколько модулей вредителя, количество и функциональность которых тоже зависят от пожеланий хозяев ВПЗ.
Читайте также: Как пользоваться смартфоном на холоде: практические советы
В результате операторы малвари получают все необходимое для кражи денег жертвы "традиционными методами". В функциональность вредоносного приложения входят:
отправления, кража, удаление SMS;
запись, переправка, блокировка звонков;
проверка баланса;
кража контактов;
осуществления звонков;
смена руководителя сервера;
загрузка и запуск файлов;
установление и удаление программ;
блокировки устройства с показом веб-страницы, заданной сервером злоумышленников;
составление и передача злоумышленникам список файлов, содержащихся на устройстве;
отправка, переименование любых файлов;
перезагрузки телефона.
Но кроме скачивания "классических" модулей, данный троян загружает и популярный пакет эксплойтов для получения прав root, предоставляющая малвари новый вектор для атаки и уникальные возможности. Так, устанавливает один из загруженных модулей в системную папку, что затрудняет процесс его деинсталляции, а с помощью прав суперпользователя операторы малвари похищают базы данных дефолтного браузера Android и браузера Google Chrome, если он установлен. Такие БД содержат информацию о сохранении логинов и паролей, историю посещений, файлы cookie и иногда даже сохраненные данные банковских карт.
Следует отметить, что root-права также позволяют малвари похитить практически любой файл в системе – от фотографий и документов к файлам с данными аккаунтов мобильных приложений.
Читайте также: Чем запомнился 2016 год: технические новинки, которые поразили Мир