В Казахстане и России есть риск распространения нового мобильного трояна, крадущего банковские данные в обход двухфакторной аутентификации. Об этом корреспонденту центра деловой информации Kapital.kz рассказала руководитель отдела по связям с общественностью ESET Валентина Иванова.
От Android-трояна, о котором стало известно в первых числах марта, уже пострадали пользователи в Австралии, Турции, Новой Зеландии. Эксперты антивирусной лаборатории ESET проанализировали угрозу и сегодня распространили предупреждение для пользователей.
«Мы публикуем новость об угрозе в других странах, потому что такие вирусы могут быстро переориентироваться и важно рассказать пользователям заранее об этом. В прошлом году была эпидемия андроидного трояна – вымогателя в русскоязычных странах. Это класс программ, которые шифруют ваши данные или удаляют их и требуют выкуп за расшифровку. Киберкампании очень быстро переориентируются, и вредоносное ПО едет «на гастроли» в страны, которые говорят на других языках. Поэтому может пройти всего несколько дней, и эта угроза заговорит на русском языке, и жертвами окажутся и российские, и казахстанские пользователи», - сообщила представитель ESET Валентина Иванова.
Android/Spy.Agent.SI распространяется под видом мобильного приложения FlashPlayer. После загрузки троян запрашивает доступ к функциям администратора устройства, что обеспечивает ему защиту от удаления.
Каждые 25 секунд троян отправляет на удаленный сервер информацию об устройстве, включая название модели, IMEI, язык, данные об активации прав администратора. Затем идет поиск банковских мобильных приложений в памяти устройства.
Обнаружив искомое, троян загружает с удаленного сервера поддельные экраны ввода логина и пароля. Когда жертва запускает банковское приложение, фальшивый экран появляется поверх легитимного и блокирует его до ввода логина и пароля мобильного банка.
Логин и пароль, введенные в фальшивую форму, отправляются на удаленный сервер. При помощи этих учетных данных злоумышленники могут войти в аккаунт жертвы и украсть деньги со счета. Троян открывает доступ к SMS-сообщениям на инфицированном устройстве, что позволяет перехватывать сообщения от банка и удалять их, не вызывая подозрений владельца.
«Троян Android/Spy.Agent.SI быстро развивается. Если первые версии программы были достаточно просты и их вредоносная активность легко обнаруживалась, то новые модификации трояна эффективно скрывают свое присутствие в системе. На сегодня известно, что вредоносная кампания ориентирована на 20 крупнейших банков Австралии, Новой Зеландии и Турции, имеющих мобильные приложения. Вирусная лаборатория ESET предупреждает, что троян может быть быстро перенаправлен на финансовые организации других стран», - добавили в антивирусной лаборатории.