Первые образцы зловредов семейства Spy.Banker были замечены ещё в конце 2013 года, но в последние месяцы эти шпионы демонстрируют устойчивый рост количества заражений. Атакам подвергаются преимущественно российские пользователи мобильных устройств под управлением операционной системы Android, а главной целью киберпреступников является кража информации для доступа к различным системам онлайн-банкинга.
Заражение происходит, когда пользователь посещает один из инфицированных сайтов. На его смартфон или планшет загружается АРК-файл под названием Anketa, после чего в главном меню устройства появляется значок «Установка». В случае запуска зловред запрашивает разрешения администратора под предлогом необходимости шифрования данных (его поддерживают версии Android 3.0 и выше). На самом деле это необходимо вредоносной программе для противодействия своему удалению из системы.
После установки троян передаёт на удалённый сервер номер сотового аппарата, IMEI зараженного устройства, страну, версию Android и другие данные. Шпион позволяет злоумышленникам получать логины и пароли сервисов онлайн-банкинга, удалённо управлять зараженным устройством и устанавливать другие вредоносные программы. К примеру, при открытии сайта Google Play троян выводит на экран форму для ввода данных банковской карты. Невнимательный пользователь вполне может перепутать окно с легитимным запросом или ввести аутентификационные данные, чтобы избавиться от всплывающих окон.
На сегодняшний день до 98 % заражений зловредом Spy.Banker.F приходится на Россию, 0,76 и 0,21 % — на Украину и Беларусь соответственно.
Источник: